Web関連の脆弱性届出件数が急増、IPAが発表
IPAによると、7〜9月期はDNSキャッシュ汚染問題でWeb関連の脆弱性報告が急増した。
情報処理推進機構(IPA)とJPCERTコーディネーションセンターは10月14日、7月〜9月期の脆弱性関連情報の届出状況を発表した。8月にはWebに関連した脆弱性の届出件数が急増した。
期間中の届出件数は、ソフトウェア関連55件とWeb関連509件の合計564件で、Web関連の届出件数は4〜6月期の208件に比べて2倍以上に急増した。2004年7月以降の累計では、ソフトウェア関連が802件、Web関連が2084件となり、Web関連の脆弱性届出が全体の約4分の3を占めた。
Web関連の脆弱性の内訳は、「DNS情報の設定不備」が56%、「クロスサイトスクリプティング」が18%、「SQLインジェクション」が14%、「ディレクトリトラバーサル」が7%、「セッション管理の不備」が1%などとなった。届出者別の内訳では、企業53%、政府機関が6%、地方公共団体が34%、協会や社団法人が3%、個人が3%などとなった。
同期間中には、7月にDNSプロトコルの脆弱性を悪用する「DNSキャッシュ汚染」問題が明るみとなり、9月以降には「実際に運用中のWebサイトのDNSサーバに対策を実施していないのではないか」という内容の届出が激増した。
また、IPAがサイト運営者などに脆弱性の修正依頼を通知してから90日以上も対策が完了していないものは、4〜6月期に比べて43件増加し累計で179件となった。300日以上対策が完了していないものもの累計で76件となった。
IPAは、脆弱性を届け出たサイト運営者が政府機関や地方公共団体、民間企業など広範囲にわたり、社会的影響の大きなWebサイトでも報告が相次いでいるとして、Webサイトの運営者へ早急な調査と対策を実施するよう呼びかけている。
ソフトウェア関連の届出では、2006年に届け出られたものの36%、2007年に届け出られたものの47%が修正対応などの取り扱いが完了していないという。IPAでは、脆弱性を攻撃された場合の顧客システムへの影響の重大さを考慮し、早期に対策を講じてほしいとしている。
関連記事
DNSキャッシュ汚染問題にみる脆弱性の公開と対処
7〜8月かけてインターネットの世界に巻き起こった「DNSキャッシュ汚染」の問題。この問題を担当したセキュリティ研究者のダン・カミンスキー氏が、脆弱性公開と対処に関するプロセスを語った。
中国大手ISPがDNSキャッシュ汚染
China Netcomのユーザーがタイプミスで無効なドメイン名を入力すると、悪質サイトに誘導される。- Web安全神話を揺るがすDNSの脆弱性、影響は想像以上
「大企業の電子メールがすべて盗まれるのではないかと心配した」とDNSプロトコルの脆弱性を発見した研究者がBlack Hatで語った。
関連リンク
Copyright© 2010 ITmedia, Inc. All Rights Reserved.
「どこでもオフィス」で業務効率アップ!
業務でオープンソースは不安、は過去のこと
トップエンジニア村上氏と上野氏が競演!
技術者不在でも「すぐに使える」
1日の処理を1秒にも――MySQLの達人が語る![【CTC事例】約30の基幹システム統合に成功[経営の見える化]につなげる新システムとは](http://image.itmedia.co.jp/images0509/fyi/enterprise_13_1265072188.jpg){kind=small}
【CTC事例】約30の基幹システム統合に成功
@IT「Windows 7」 特設サイトオープン!
「設備」「ネットワーク」「マネジメント」
IT基盤をアウトソースした中堅中小企業たち
「ノートPCの持ち出し禁止」だけで大丈夫?
「Windows 7搭載PC」で何が変わったのか?
かつての日本の成功体験はもう通じない
@ITメールソリューションLive! in Tokyo
経営層が信頼から企業価値を生むために
世界で勝つ 強い日本企業のつくり方:利用契約の検討――グローバルクラウドで失敗しないために(前編)
IT投資の新方程式:「Twitter使ってます」――現役MS社員が“社員力”を語る(前編)
産業構造を変えるか:「住宅クラウド」の衝撃
オルタナティブな生き方 栗原進さん:ネットでリアルを楽しくしたい
最強最速アルゴリズマー養成講座:トップクラスだけが知る「このアルゴリズムがすごい」――「探索」基礎最速マスター