Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

IPAら、第3四半期の脆弱性届出状況を公表 - DNSキャッシュポイズニングが激増

情報処理推進機構(IPA)とJPCERTコーディネーションセンターは、2008年第3四半期における脆弱性の届け出状況を取りまとめた。8月からDNSキャッシュポイズニングの届け出が激増しており、改めて注意を喚起を行っている。

同四半期にIPAへ寄せられた脆弱性の届け出件数は、ソフトウェアが55件、ウェブアプリケーションが509件だった。ソフトウェアに関しては、前四半期の69件から減少したものの、ウェブアプリは208件から大幅な増加を見せた。これは、8月半ばからDNSキャッシュポイズニングの脆弱性に関する届け出が急増したためだという。

これにより、届け出があった脆弱性の種類内訳にも変化が生じている。ウェブアプリの脆弱性では「DNS情報の設定不備」が56%で最も多く、前期は7割近くを占めた「クロスサイトスクリプティング」は18%だった。一方で「SQLインジェクション」については14%と、前期の4%から大きな伸びを記録している。

脆弱性の届け出があったサイトの運営主体内訳を見ると、企業が53%でトップ、地方公共団体が34%、政府機関6%と続く。前回調査と比べて企業の比率は減少したが、地方公共団体が増加した。同四半期において修正が完了したソフトウェアの脆弱性は25件で、累計は299件。ウェブサイトは155件で、累計は1133件となった。

ウェブサイトの脆弱性で90日以上対策が完了していないケースは43件増加し、累計で179件。また、300日以上完了していないものは10件増加し、累計で76件となった。SQLインジェクションなど深刻でありながら修正が長期にわたっているサイトもあるという。

今回の報告で目立ったDNS情報の設定不備は、DNSキャッシュポイズニングの脆弱性と連動したもので、政府機関、地方公共団体、民間企業など広範囲に被害が及んでいる。

DNSキャッシュサーバがDNSコンテンツサーバを兼ねている構成のウェブサイトでは、外部の利用者に被害が及ぶ可能性があり、悪意あるサイトへ誘導され個人情報の詐取や金銭被害を受けるおそれもある。IPAやJPCERT/CCでは数回にわたり注意喚起を実施しているが、サイト運営者は早急な調査と対策を実施するよう再度呼びかけている。

(Security NEXT - 2008/10/15 ) このエントリーをはてなブックマークに追加

PR

関連記事

ランサムリークサイト、年間約4000件の投稿 - 身代金支払うも約2割で反古
「WordPress」における不用意な露出に注意 - 攻撃の糸口となることも
「セキュリティ10大脅威2024」 - 個人の脅威は順位表示を廃止
脆弱性の届出が大幅増 - ウェブサイト関連は前四半期比2.2倍に
インシデント件数が約1割増 - 「スキャン」報告が倍増
2023年4Qの「JVN iPedia」登録、前四半期の約1.6倍に
OSSコミュニティ、脆弱性修正に3カ月弱 - 4年で半数が終了
リサイクルされる「ランサムウェア」 - リーク件数は1.5倍に
「JVN iPedia」の登録数、前四半期比3.7倍に - 前年分公開の影響で
3Qの脆弱性届け出、ウェブサイト関連が増加