届出状況2008Q2
2008年10月15日(水曜日)
届出状況2008Q2
「ソフトウエア等の脆弱性関連情報に関する届出状況2008年第3四半期 (www.ipa.go.jp)」。
図7に示すように、2008年第3四半期はDNS情報の設定不備の届出件数が突出して激増しました。これは、DNS(Domain Name System)キャッシュポイズニングの脆弱性に関して、「実際に運用中のウェブサイトのDNSサーバに、対策を実施していないのではないか?」という旨の届出が激増したためです。
えー、これって、公表済みの脆弱性が対策されずに放置されているケースですよね。そういうのは取扱い対象じゃないって言われたことがあるような気がするのですが。
メールを発掘してみるとこんな感じ。
ウェブサイトにて使用しているソフトウエアの問題の場合は、ソフトウエア製品の脆弱性として取扱わせていただいております。ただし、本件においては、当該ソフトウエアの脆弱性は既に公開されているため、取扱い対象外と判断いたしました。
これは、とあるセキュリティ系の会社で使われていた Movable Type が古いまま放置されていて脆弱だったという話なのですが、DNSサーバをアップデートしていないのも同じことだと思うのですよね。
DNSはヤバイので特別に取り扱い対象としているのか、あるいは、単純に方針が変わったのか……。まあ、このときには「取り扱うようにしてほしい」という要望も出していたわけでして、取り扱ってくれるようになったのであれば嬉しいのですが。
- 「届出状況2008Q2」にコメントを書く
関連する話題: セキュリティ / IPA / JPCERT/CC / JVN / 情報セキュリティ早期警戒パートナーシップ
- 前(古い): クリックジャッキング
- 次(新しい): 20世紀少年4,5
