Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

IPAら、第3四半期の脆弱性届出状況を公表 - DNSキャッシュポイズニングが激増

情報処理推進機構(IPA)とJPCERTコーディネーションセンターは、2008年第3四半期における脆弱性の届け出状況を取りまとめた。8月からDNSキャッシュポイズニングの届け出が激増しており、改めて注意を喚起を行っている。

同四半期にIPAへ寄せられた脆弱性の届け出件数は、ソフトウェアが55件、ウェブアプリケーションが509件だった。ソフトウェアに関しては、前四半期の69件から減少したものの、ウェブアプリは208件から大幅な増加を見せた。これは、8月半ばからDNSキャッシュポイズニングの脆弱性に関する届け出が急増したためだという。

これにより、届け出があった脆弱性の種類内訳にも変化が生じている。ウェブアプリの脆弱性では「DNS情報の設定不備」が56%で最も多く、前期は7割近くを占めた「クロスサイトスクリプティング」は18%だった。一方で「SQLインジェクション」については14%と、前期の4%から大きな伸びを記録している。

脆弱性の届け出があったサイトの運営主体内訳を見ると、企業が53%でトップ、地方公共団体が34%、政府機関6%と続く。前回調査と比べて企業の比率は減少したが、地方公共団体が増加した。同四半期において修正が完了したソフトウェアの脆弱性は25件で、累計は299件。ウェブサイトは155件で、累計は1133件となった。

ウェブサイトの脆弱性で90日以上対策が完了していないケースは43件増加し、累計で179件。また、300日以上完了していないものは10件増加し、累計で76件となった。SQLインジェクションなど深刻でありながら修正が長期にわたっているサイトもあるという。

今回の報告で目立ったDNS情報の設定不備は、DNSキャッシュポイズニングの脆弱性と連動したもので、政府機関、地方公共団体、民間企業など広範囲に被害が及んでいる。

DNSキャッシュサーバがDNSコンテンツサーバを兼ねている構成のウェブサイトでは、外部の利用者に被害が及ぶ可能性があり、悪意あるサイトへ誘導され個人情報の詐取や金銭被害を受けるおそれもある。IPAやJPCERT/CCでは数回にわたり注意喚起を実施しているが、サイト運営者は早急な調査と対策を実施するよう再度呼びかけている。

(Security NEXT - 2008/10/15 ) このエントリーをはてなブックマークに追加

PR

関連記事

「WannaCrypt」騒ぎから1年経過するも国内端末の1割に感染リスク
2018年1Qの脆弱性届出は138件 - 前四半期から倍増
2018年1Qの「標的型攻撃メール」は101件 - 標的の8割がプラント関係者
2018年1Qの脆弱性登録は3113件 - Linux関連が上位に
国内のMirai亜種感染機器からの通信が3月に増加 - 背景に「akuma」
IoT製品の26.3%でサポート期間中に脆弱性 - 1割強で対策不可能な場合も
不正アクセス事件の検挙件数が前年比3割増 - 被疑者は10代、動機は「好奇心」が最多
開発時のセキュリティ、社内方針があるIoT製品は4割未満 - 産業用などで低い傾向
2017年後半に「コインマイナー」検出が急増 - 「Coinhive」の影響も
攻撃パケットは前年比約1.2倍、IoT狙う攻撃が高度化 - NICT調査