脆弱性関連情報の届出件数は半年で172件――IPA

IPAとJPCERT/CCは1月25日、2004年第4四半期（10月-12月期）の脆弱性関連情報の届出状況をまとめた。

[ITmedia]

　独立行政法人 情報処理推進機構（IPA）とJPCERTコーディネーションセンター（JPCERT/CC）は1月25日、2004年第4四半期（10月-12月期）の脆弱性関連情報の届出状況をまとめた。

　脆弱性関連情報届出制度は、経産省の告示に基づき、2004年7月に開始した制度で、ベンダーの自発的な改善だけに依存することなく、悪用を防ぎながら対応する目的で定められた。IPAが届出の窓口機関となり、JPCERT/CCとIPAが調整役を務めている。

　制度開始から半年が経過したことになるが、ソフトウェア製品に関する届出とWebアプリケーションに関する届出を合わせて、累計で172件の届出があった。第4四半期には、ソフトウェア製品13件、Webアプリケーション67件の合計80件の届出がなされている。

	2004年第3四半期	2004年第4四半期	合計
ソフトウェア製品に関する届出	19	13	32
Webアプリケーションに関する届出	73	67	140
合計	92	80	172

　ソフトウェア製品の脆弱性については、第4四半期に新たに8件の脆弱性を公表し、開発者により脆弱性ではないと判断されたものが2件。届出対象外となったものが1件。残りの2件は取り扱い中ということになる。

　この時期に公表されたソフトウェアの脆弱性には、HDD&DVDビデオレコーダの認証における脆弱性（2004年10月15日）といった家電製品に関するもの、DNSキャッシュサーバのリソース消費（2004年10月20日）などがあり、複数ベンダーの製品に影響がある後者の脆弱性には、JPCERT/CCが複数ベンダーの開発者に対して調整を行った。

　「特に目立ったのは、S/MIME署名検証機能に関する脆弱性」（技術担当理事 窪田明氏）で、4つの電子メールクライアントで同種の脆弱性が公表された。

取り扱い状況	2004年9月末までの累計	2004年12月末までの累計
対策完了	3	11
脆弱性ではない	1	3
取り扱い中	12	14
不受理	3	4

Webアプリケーションの脆弱性

　Webアプリケーションの脆弱性は、2004年第4四半期に、67件の届出が行われた。2004年第4四半期には、新たに27件の修正を完了し、7件で該当ページを削除することで対策された。サイト運営者によって脆弱性が存在しないと判断したのは6件。合計で40件の届出取り扱いを終了した。これにより、7月からの累計で59件の取り扱いを処理したことになる。だが、第4四半期でも10件でサイト運営者と連絡が取れなかった。

　連絡が取れない理由で取り扱い不能となった届出は、7月以来累積で26件となっている。

取り扱い状況	2004年9月末までの累計	2004年12月末までの累計
対策完了	10	37
脆弱性ではない	11	11
運用で回避	4	4
該当ページを削除	0	7
取り扱い中	34	51
取り扱い不能	16	26
不受理	4	4

　「修正が行われたものには、システムインテグレータ請け負っているものもあり、その企業が運用しているサイトすべてで同様の修正がなされているはず」とのことで、数字以上に現れない数のサイトがこの制度を通じて、修正が行われているともいう。

　IPAセキュリティセンターの早貸淳子氏は、制度の効果について「対策のないまま放置されるWebサイトが減った」と話す。また、ソフトウェアに関する脆弱性の情報公開のあり方についても、脆弱性対策情報ポータルサイト「JP Vendor Status Note」（JVN）だけでなく、今後メーリングリストなど広報強化に努める考えとした。