情報処理推進機構(IPA)は14日、2008年第3四半期(7月~9月)の脆弱性関連情報の届出状況を公表した。DNSキャッシュポイズニングの脆弱性の届出が激増したことから、Webサイトに関する脆弱性の届出が509件に上り、前四半期の208件から倍増した。
DNSキャッシュポイズニングとは、DNSサーバーのデータを書き換えるなどして、ドメイン名の名前解決時に偽のIPアドレスの情報をクライアントに返す攻撃手法。ユーザーを悪意のあるサイトなどに誘導できるため、フィッシング詐欺に悪用される可能性もある。
2008年第3四半期に寄せられた脆弱性関連情報は、ソフトウェア製品が55件、Webサイトが509件の合計564件。このうち、脆弱性の修正が完了したほか、脆弱性ではないと判断されたり、届出が不受理となったものは、ソフトウェア製品が37件、Webサイトが161件だった。
脆弱性が指摘されたWebサイトの運営者の内訳では、企業が53%で最多。以下は地方公共団体が34%、政府機関が6%、団体(協会・社団法人)が3%、個人が3%など。脆弱性の種類では、DNS情報の設定不備が56%で最も多く、クロスサイトスクリプティングが18%、SQLインジェクションが14%、ディレクトリトラバーサルが7%と続いた。
DNS情報の設定不備の脆弱性が多かった理由についてIPAでは、「DNSキャッシュポイズニングの脆弱性に関して、『実際に運用中のWebサイトのDNSサーバーに、対策を実施していないのではないか?』という旨の届出が激増したため」と説明。同様の届出は9月以降、週平均で約50件に上り、2008年第3四半期では合計283件が寄せられた。通常の脆弱性の届出は、毎週10~20件程度だという。
IPAでは、「個人情報を扱っているような社会的影響の大きいWebサイトのDNSサーバーについても多数の届出がある」としており、サイト運営者は早急な調査と対策が必要としている。
関連情報
■URL
ニュースリリース
http://www.ipa.go.jp/security/vuln/report/vuln2008q3.html
■関連記事
・ キャッシュポイズニングの脆弱性あるDNSサーバー、まだ多数存在(2008/09/18)
・ DNSSECは解決策になりえるか? DNSの脆弱性の発見者に聞く(2008/10/07)
( 増田 覚 )
2008/10/14 15:41
- ページの先頭へ-
|