2013年Q1の最多脆弱性はDNSの設定不備 - JPCERT/CCレポート

JPCERTコーディネーションセンター(JPCERT/CC)と情報処理推進機構(IPA)は4月23日、2013年第1四半期(1月~3月)の脆弱性関連情報の届出状況を「脆弱性関連情報に関する活動報告レポート」としてまとめ、公開した。

レポートによると、2013年第1四半期の脆弱性情報の届出件数は277件で、内訳はソフトウェア製品に関するものが64件、ウェブサイト(ウェブアプリケーション)に関するものが213件。これにより、2004年7月の届出受付開始からの累計は、ソフトウェア製品に関するものが1,531件、ウェブサイトに関するものが6,913件、合計8,444件となった。

また、届出のうち2013年第1四半期に修正を完了したものは、ソフトウェア製品については30件(修正完了率55%)、ウェブサイトについては196件(修正完了率70%)となっている。

届出件数の推移

同社では、届出のあった脆弱性関連情報のうち、特に注目すべき事例として、DNS(Domain Name System)の設定不備について挙げている。これは、ウェブアプリケーションの脆弱性として、DNSサーバの設定不備により、利用者が偽のウェブサイトにアクセスさせられてしまう可能性があるとの届出が15件寄せられているというもの。

この問題は、利用者が当該ウェブサイトにアクセスする際に参照するDNSの「委譲」に関する設定が適切でないために、第三者が勝手に偽のDNS応答を返すことができてしまうことから起こるもので、DNS管理業者の変更やサーバ設定の更新時の設定変更忘れ、ドメイン名のミススペルなどの設定ミスが原因と考えられ、ウェブサイト運営者、DNS管理者に対し、DNSサーバの設定を改めて確認されることが望まれるとしている。

関連キーワード


人気記事

一覧

イチオシ記事

新着記事