Web関連の脆弱性届出件数が急増、IPAが発表

IPAによると、7〜9月期はDNSキャッシュ汚染問題でWeb関連の脆弱性報告が急増した。

» 2008年10月14日 18時55分 公開
[ITmedia]

 情報処理推進機構(IPA)とJPCERTコーディネーションセンターは10月14日、7月〜9月期の脆弱性関連情報の届出状況を発表した。8月にはWebに関連した脆弱性の届出件数が急増した。

 期間中の届出件数は、ソフトウェア関連55件とWeb関連509件の合計564件で、Web関連の届出件数は4〜6月期の208件に比べて2倍以上に急増した。2004年7月以降の累計では、ソフトウェア関連が802件、Web関連が2084件となり、Web関連の脆弱性届出が全体の約4分の3を占めた。

 Web関連の脆弱性の内訳は、「DNS情報の設定不備」が56%、「クロスサイトスクリプティング」が18%、「SQLインジェクション」が14%、「ディレクトリトラバーサル」が7%、「セッション管理の不備」が1%などとなった。届出者別の内訳では、企業53%、政府機関が6%、地方公共団体が34%、協会や社団法人が3%、個人が3%などとなった。

 同期間中には、7月にDNSプロトコルの脆弱性を悪用する「DNSキャッシュ汚染」問題が明るみとなり、9月以降には「実際に運用中のWebサイトのDNSサーバに対策を実施していないのではないか」という内容の届出が激増した。

 また、IPAがサイト運営者などに脆弱性の修正依頼を通知してから90日以上も対策が完了していないものは、4〜6月期に比べて43件増加し累計で179件となった。300日以上対策が完了していないものもの累計で76件となった。

 IPAは、脆弱性を届け出たサイト運営者が政府機関や地方公共団体、民間企業など広範囲にわたり、社会的影響の大きなWebサイトでも報告が相次いでいるとして、Webサイトの運営者へ早急な調査と対策を実施するよう呼びかけている。

 ソフトウェア関連の届出では、2006年に届け出られたものの36%、2007年に届け出られたものの47%が修正対応などの取り扱いが完了していないという。IPAでは、脆弱性を攻撃された場合の顧客システムへの影響の重大さを考慮し、早期に対策を講じてほしいとしている。

過去のセキュリティニュース一覧はこちら

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ