Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

IPAら、第3四半期の脆弱性届出状況を公表 - DNSキャッシュポイズニングが激増

情報処理推進機構(IPA)とJPCERTコーディネーションセンターは、2008年第3四半期における脆弱性の届け出状況を取りまとめた。8月からDNSキャッシュポイズニングの届け出が激増しており、改めて注意を喚起を行っている。

同四半期にIPAへ寄せられた脆弱性の届け出件数は、ソフトウェアが55件、ウェブアプリケーションが509件だった。ソフトウェアに関しては、前四半期の69件から減少したものの、ウェブアプリは208件から大幅な増加を見せた。これは、8月半ばからDNSキャッシュポイズニングの脆弱性に関する届け出が急増したためだという。

これにより、届け出があった脆弱性の種類内訳にも変化が生じている。ウェブアプリの脆弱性では「DNS情報の設定不備」が56%で最も多く、前期は7割近くを占めた「クロスサイトスクリプティング」は18%だった。一方で「SQLインジェクション」については14%と、前期の4%から大きな伸びを記録している。

脆弱性の届け出があったサイトの運営主体内訳を見ると、企業が53%でトップ、地方公共団体が34%、政府機関6%と続く。前回調査と比べて企業の比率は減少したが、地方公共団体が増加した。同四半期において修正が完了したソフトウェアの脆弱性は25件で、累計は299件。ウェブサイトは155件で、累計は1133件となった。

ウェブサイトの脆弱性で90日以上対策が完了していないケースは43件増加し、累計で179件。また、300日以上完了していないものは10件増加し、累計で76件となった。SQLインジェクションなど深刻でありながら修正が長期にわたっているサイトもあるという。

今回の報告で目立ったDNS情報の設定不備は、DNSキャッシュポイズニングの脆弱性と連動したもので、政府機関、地方公共団体、民間企業など広範囲に被害が及んでいる。

DNSキャッシュサーバがDNSコンテンツサーバを兼ねている構成のウェブサイトでは、外部の利用者に被害が及ぶ可能性があり、悪意あるサイトへ誘導され個人情報の詐取や金銭被害を受けるおそれもある。IPAやJPCERT/CCでは数回にわたり注意喚起を実施しているが、サイト運営者は早急な調査と対策を実施するよう再度呼びかけている。

(Security NEXT - 2008/10/15 ) このエントリーをはてなブックマークに追加

PR

関連記事

小規模サイト、約1割「一切脆弱性対策せず」 - 対策不備で2割が被害経験
2020年の緊急対応支援、3割強が「Emotet」 - ラック
2020年4Qのインシデントは1割減 - マルウェアサイトは倍増
2020年4Qの脆弱性届け出は303件 - ソフト、サイトともに増
2020年4Qの脆弱性登録は1423件 - 前年同期の3分の1
2020年の上場関連企業における個人情報事故 - 103件2515万人分
セキュリティ事件の認知度、1位はドコモ口座の不正出金
サイバー攻撃の被害額、8割超が100万円未満 - 日本損保協会調査
情報流出を狙った攻撃が5割超 - 脆弱性探索も
標的型攻撃のレスキュー支援、2020年上半期は45件