届出件数と被害件数は関係ない

公開: 2024年4月26日15時15分頃

DNSキャッシュポイズニングの脆弱性の影響範囲の広さと脅威は深刻です。IPAの2008年度第3四半期のソフトウェアなどの脆弱性関連情報に関する届出状況を見ると、国内でもわずか1カ月で273件の被害があり、その傾向が見られます。

いやいや、それはあくまで脆弱性関連情報の届出件数ですから。この制度は、脆弱性を発見した人が攻撃を未然に防ぐべく届け出るもので、実際に被害に遭った人が届け出るものではありません。ほとんどの場合、被害が出る前に修正される事になると思われます。つまり、この届出件数と被害件数は関係ないということです。

XSSなんかは届出は多いのですが、被害はそれほど報告されていないですね。

DNSがヤバイというのはそうだと思うのですが、このデータを持ってきて「実際に被害が出ている」と主張するのは妥当ではないと思います。

※もっと言うと、特定少数の人が精力的に届け出ているだけだったりする場合もあって、個人の動向によって件数がかなり左右されたりもするのですよね……。