脆弱性への未対策指摘が急増 — IPA・JPCERT/CCによる2008年第4四半期状況

エンタープライズその他

注目記事

2009.1.26（月）14:09

　IPA（情報処理推進機構）およびJPCERT/CC（JPCERTコーディネーションセンター）は26日、2008年第4四半期（10月〜12月）の脆弱性関連情報の届出状況を発表した。

　それによると、　2008年第4四半期（2008年10月1日から12月31日まで）のIPAへの脆弱性関連情報の届出件数は、ソフトウェア製品に関するもの60件、ウェブアプリケーション（ウェブサイト）に関するもの1,430件、合計1,490件だった。届出受付開始（2004年7月8日）からの累計は、ソフトウェア製品に関するもの861件、ウェブサイトに関するもの3,514件、合計4,375件。ウェブサイトに関する届出が全体の約5分の4を占めている。

　また「DNSキャッシュポイズニングの脆弱性」に関して、「実際に運用されているDNSサーバに対策が実施されていないのでは？」という旨の届出が9月頃から激増しているという。2008年7月に、複数のDNSサーバ製品の開発ベンダーから対策情報が公開され、JPCERT/CCが注意喚起を行ったにも関わらず、対策を放置しているということが多いようだ。DNSキャッシュポイズニング脆弱性の各月の届出件数と12月末現在の対策状況において、脆弱性の届出は、対策情報の公開直後に比べて減少傾向にあるが、12月にも126件の届出があった。8月から12月までの届出の累計は792件で、現時点で取扱い中（対策中）のものが計674件ある。同様に2008年3月にJPCERT/CCが注意喚起を行った「SQLインジェクション攻撃」についても、未対策であることを指摘する届出が増加している。SQLインジェクション脆弱性は3月に多数の届出があり、8月頃から再度増加傾向にある。2008年の1月から12月までの届出の累計は263件で、現時点で取扱い中（対策中）のものが計202件あるとのこと。

　なお今四半期に脆弱性の届出のあった対象ウェブサイトの運営主体別内訳は、企業合計が54%、地方公共団体が25％、団体（協会・社団法人）が7％、政府機関が6％、教育・学術機関が4%、個人が3％など。また、今四半期に届出のあったウェブサイトの脆弱性の種類の内訳は、クロスサイト・スクリプティングが44%、DNS情報の設定不備（DNS キャッシュポイズニングの脆弱性）が24%、SQLインジェクションが16%、ファイルの誤った公開が3%、HTTPレスポンス分割が2%などだった。

《冨岡晶》