Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

IPAら、第3四半期の脆弱性届出状況を公表 - DNSキャッシュポイズニングが激増

情報処理推進機構(IPA)とJPCERTコーディネーションセンターは、2008年第3四半期における脆弱性の届け出状況を取りまとめた。8月からDNSキャッシュポイズニングの届け出が激増しており、改めて注意を喚起を行っている。

同四半期にIPAへ寄せられた脆弱性の届け出件数は、ソフトウェアが55件、ウェブアプリケーションが509件だった。ソフトウェアに関しては、前四半期の69件から減少したものの、ウェブアプリは208件から大幅な増加を見せた。これは、8月半ばからDNSキャッシュポイズニングの脆弱性に関する届け出が急増したためだという。

これにより、届け出があった脆弱性の種類内訳にも変化が生じている。ウェブアプリの脆弱性では「DNS情報の設定不備」が56%で最も多く、前期は7割近くを占めた「クロスサイトスクリプティング」は18%だった。一方で「SQLインジェクション」については14%と、前期の4%から大きな伸びを記録している。

脆弱性の届け出があったサイトの運営主体内訳を見ると、企業が53%でトップ、地方公共団体が34%、政府機関6%と続く。前回調査と比べて企業の比率は減少したが、地方公共団体が増加した。同四半期において修正が完了したソフトウェアの脆弱性は25件で、累計は299件。ウェブサイトは155件で、累計は1133件となった。

ウェブサイトの脆弱性で90日以上対策が完了していないケースは43件増加し、累計で179件。また、300日以上完了していないものは10件増加し、累計で76件となった。SQLインジェクションなど深刻でありながら修正が長期にわたっているサイトもあるという。

今回の報告で目立ったDNS情報の設定不備は、DNSキャッシュポイズニングの脆弱性と連動したもので、政府機関、地方公共団体、民間企業など広範囲に被害が及んでいる。

DNSキャッシュサーバがDNSコンテンツサーバを兼ねている構成のウェブサイトでは、外部の利用者に被害が及ぶ可能性があり、悪意あるサイトへ誘導され個人情報の詐取や金銭被害を受けるおそれもある。IPAやJPCERT/CCでは数回にわたり注意喚起を実施しているが、サイト運営者は早急な調査と対策を実施するよう再度呼びかけている。

(Security NEXT - 2008/10/15 ) このエントリーをはてなブックマークに追加

PR

関連記事

不正サイトのマルウェア拡散、「仮想通貨採掘ツール」にシフト - 相場高騰が後押しか
445番ポートへのパケットを継続して観測、「WannaCrypt」の影響収束せず
2017年3Qの脆弱性届け出は121件 - 前四半期から半減
2017年3Qの脆弱性登録は3695件 - 制御システム関連は99件
金融機関の3割でサイバー攻撃が発生 - 1割が「経営に影響」と回答
「ReadyNAS Surveillance」の脆弱性に対する攻撃 - 継続的に観測
ランサムウェアを6割が認知するも、4割強はバックアップ未実施
目立つ「HeartBleed」関連インシデント - ラック報告
2016年のモバイルセキュリティ市場は65億円 - 5年後には2倍に
2017年2Qは脆弱性への攻撃が増加 - エクスプロイト公開が影響