メルマガ購読
IPA(情報処理推進機構)およびJPCERT/CC(JPCERTコーディネーションセンター)は26日、2008年第4四半期(10月〜12月)の脆弱性関連情報の届出状況を発表した。
それによると、 2008年第4四半期(2008年10月1日から12月31日まで)のIPAへの脆弱性関連情報の届出件数は、ソフトウェア製品に関するもの60件、ウェブアプリケーション(ウェブサイト)に関するもの1,430件、合計1,490件だった。届出受付開始(2004年7月8日)からの累計は、ソフトウェア製品に関するもの861件、ウェブサイトに関するもの3,514件、合計4,375件。ウェブサイトに関する届出が全体の約5分の4を占めている。
また「DNSキャッシュポイズニングの脆弱性」に関して、「実際に運用されているDNSサーバに対策が実施されていないのでは?」という旨の届出が9月頃から激増しているという。2008年7月に、複数のDNSサーバ製品の開発ベンダーから対策情報が公開され、JPCERT/CCが注意喚起を行ったにも関わらず、対策を放置しているということが多いようだ。DNSキャッシュポイズニング脆弱性の各月の届出件数と12月末現在の対策状況において、脆弱性の届出は、対策情報の公開直後に比べて減少傾向にあるが、12月にも126件の届出があった。8月から12月までの届出の累計は792件で、現時点で取扱い中(対策中)のものが計674件ある。同様に2008年3月にJPCERT/CCが注意喚起を行った「SQLインジェクション攻撃」についても、未対策であることを指摘する届出が増加している。SQLインジェクション脆弱性は3月に多数の届出があり、8月頃から再度増加傾向にある。2008年の1月から12月までの届出の累計は263件で、現時点で取扱い中(対策中)のものが計202件あるとのこと。
なお今四半期に脆弱性の届出のあった対象ウェブサイトの運営主体別内訳は、企業合計が54%、地方公共団体が25%、団体(協会・社団法人)が7%、政府機関が6%、教育・学術機関が4%、個人が3%など。また、今四半期に届出のあったウェブサイトの脆弱性の種類の内訳は、クロスサイト・スクリプティングが44%、DNS情報の設定不備(DNS キャッシュポイズニングの脆弱性)が24%、SQLインジェクションが16%、ファイルの誤った公開が3%、HTTPレスポンス分割が2%などだった。
脆弱性への未対策指摘が急増 — IPA・JPCERT/CCによる2008年第4四半期状況
2009年1月26日(月) 14時09分
DNSキャッシュポイズニング脆弱性の届出件数と対策状況
SQLインジェクション脆弱性の届出件数と対策状況
ウェブサイトの運営主体/ウェブサイトの脆弱性の種類
《冨岡晶》
注目ニュース
マイクロソフトは14日、2009年1月のセキュリティ情報を公開した。深刻度が「緊急」のセキュリティ更新プログラムが1件となっている。
有限責任中間法人JPCERT コーディネーションセンター(JPCERT/CC)は24日夜、「[続報]複数の DNS サーバ製品におけるキャッシュポイズニングの 脆弱性に関する注意喚起」と題する文書を...
有限責任中間法人JPCERTコーディネーションセンター(JPCERT/CC)は25日、「CSIRTガイド」「インシデントハンドリングマニュアル」「ソースコード解析ツールを活用した CERT セキュア...
有限責任中間法人JPCERT コーディネーションセンター(JPCERT/CC)は24日に、「Adobe Acrobat および Adobe Reader の脆弱性に関する注意喚起」と題する文章を公表...
有限責任中間法人JPCERT コーディネーションセンター(JPCERT/CC)は11日、「SNMPv3を実装した複数製品の認証回避の脆弱性に関する注意喚起」を公表した。
独立行政法人 情報処理推進機構(略称:IPA、理事長:西垣浩司)は10日、「X.Org Foundation 製 X サーバ 」におけるセキュリティ上の弱点(脆弱性)について公表した。
有限責任中間法人JPCERT コーディネーションセンター(JPCERT/CC)は28日に、「Adobe Flash Playerの未修正の脆弱性に関する注意喚起」と題する文章を公表した。
有限責任中間法人JPCERT コーディネーションセンター(JPCERT/CC)は16日に、「Debian GNU/Linuxに含まれるOpenSSL/OpenSSHの脆弱性に関する注意喚起」と題する...
独立行政法人 情報処理推進機構(略称:IPA、理事長:西垣浩司)は15日に、「SQLインジェクション攻撃に関する注意喚起」と題する文書を公表し、あらためて注意を呼びかけた。
情報処理推進機構コーディネーションセンター(JPCERT/CC)は14日、ここ数日、Webサイトに対するSQLインジェクション攻撃が行われ、Webサイトが改ざんされる被害が発生していると警告した。
13日深夜、RBB TODAY編集部のアドレスに株式会社ゆうちょ銀行を騙るメールが届いた
JPCERT/CCは7日に、「国内ブランドを装ったフィッシングサイトに関する注意喚起」と題する文書を公開し、注意を呼びかけている。
独立行政法人 情報処理推進機構(IPA)は6日より、TCP/IPを実装する製品の開発者向けに、TCP/IPに係る既知の脆弱性検証ツールを開発・公開し、CD-ROMでの貸出を開始した。
独立行政法人 情報処理推進機構(IPA)および有限責任中間法人JPCERTコーディネーションセンター(JPCERT/CC)は、18日に共同で、「ソフトウエア等の脆弱性関連情報に関する届出状況 [20...
有限責任中間法人 JPCERTコーディネーションセンターは15日、「JPCERT/CC 活動概要 2007年10月1日〜2007年12月31日」を公開した。
JPCERTコーディネーションセンター(JPCERT/CC)は25日、コンピュータセキュリティインシデント発生の予防、および緊急時の対応に関し、セキュリティ対策実施状況、ならびに緊急時の連絡体制の事...
独立行政法人 情報処理推進機構(略称:IPA)は4日、ソニー株式会社が提供する音楽管理ソフトウェア「SonicStage CP」におけるセキュリティ上の弱点(脆弱性)に関する注意喚起を公表した。
情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は22日、2007年第3四半期の脆弱性関連情報の届出状況のまとめを発表した。
有限責任中間法人JPCERT コーディネーションセンター(JPCERT/CC)は21日、ファイル圧縮・解凍ソフト「Lhaplus」(ラプラス)について、脆弱性の注意喚起を促す文書を発表した。
8月23日、JPCERT/CCは、22日以降よりTCP 5168番ポートへのスキャンが増加していることを確認し、「注意喚起」のアラートを発した。
6月28日、JPCERT/CCは、MPackと呼ばれる攻撃ツールによる被害が主に海外で増加していると注意喚起を行った。
JPCERTコーディネーションセンター(JPCERT/CC)は14日、ISPからの委託業者を名乗って電話でIDやパスワードを聞きだそうとする行為が行われていると警告した。
有限責任中間法人 JPCERT コーディネーションセンター(JPCERT/CC)は、セキュリティ対策の啓蒙促進のため、自ホームページ内にセキュリティに関する豆知識コーナー「ひとくちメモ」を新設した。
JPCERTコーディネーションセンター(JPCERT/CC)は、TCP139番ポートへのスキャンが増加しているとして注意を促しているこれは。同法人が運用するインターネット定点観測システムが検知したも...
