水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 届出件数と被害件数は関係ない

届出件数と被害件数は関係ない

2008年12月5日(金曜日)

届出件数と被害件数は関係ない

公開: 2018年7月22日15時15分頃

私はこう見た、Black Hat Japan 2008(前編)日本から世界へ広がれ、セキュリティエンジニアの輪 (www.atmarkit.co.jp)

DNSキャッシュポイズニングの脆弱性の影響範囲の広さと脅威は深刻です。IPAの2008年度第3四半期のソフトウェアなどの脆弱性関連情報に関する届出状況を見ると、国内でもわずか1カ月で273件の被害があり、その傾向が見られます。

以上、私はこう見た、Black Hat Japan 2008(前編)日本から世界へ広がれ、セキュリティエンジニアの輪 より

いやいや、それはあくまで脆弱性関連情報の届出件数ですから。この制度は、脆弱性を発見した人が攻撃を未然に防ぐべく届け出るもので、実際に被害に遭った人が届け出るものではありません。ほとんどの場合、被害が出る前に修正される事になると思われます。つまり、この届出件数と被害件数は関係ないということです。

XSSなんかは届出は多いのですが、被害はそれほど報告されていないですね。

DNSがヤバイというのはそうだと思うのですが、このデータを持ってきて「実際に被害が出ている」と主張するのは妥当ではないと思います。

※もっと言うと、特定少数の人が精力的に届け出ているだけだったりする場合もあって、個人の動向によって件数がかなり左右されたりもするのですよね……。

関連する話題: セキュリティ / IPA / 情報セキュリティ早期警戒パートナーシップ

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 Webプログラミング

その他サイト