IPA、2005年第1四半期の脆弱性関連情報の取扱状況を発表

IPAとJPCERT/CCは、2005年第1四半期の脆弱性関連情報の届出状況をまとめた。

» 2005年04月19日 18時40分 公開
[ITmedia]

 情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は4月19日、2005年第1四半期(1月-3月)の脆弱性関連情報の届出状況をまとめた。

 脆弱性関連情報の届出制度は、経産省の告示に基づき、ベンダーの自発的な改善に依存することなく、悪用を防ぎつつ脆弱性に対応する目的で定められた制度。IPAが届出の窓口機関となり、JPCERT/CCとIPAがそれぞれ調整役を担っている。

 2005年第1四半期では、ソフトウェアに関する届出は12件あり、Webアプリケーションに関するものは71件。2004年7月に受付を開始してからの累計255件となった。営業日あたり1.45件の届出があったことになる。

 ソフトウェア製品の脆弱性として公表したのは、「LDAPサーバの更新機能におけるバッファオーバーフローの脆弱性」などの6件。そのほか、製品間初者自身から連絡を受けた公表したものが1件あった。2004年第1四半期に製品開発者によって脆弱性ではないと判断されたものや、不受理とされたものはなかった。

公表 脆弱性ではない 不受理 取り扱い中(四半期末時点)
2004年第3四半期 3 1 3 12
2004年第4四半期 8 2 1 14
2005年第1四半期 6 0 0 20
合計 17 3 4

 依然、届出のうち、Webブラウザや電子メールクライアント、ウイルス対策ソフトに関する脆弱性が半数を超えるているものの、「範囲は携帯電話や情報家電といった組み込みにまで広がってきた傾向にある」(IPA/ISECの福澤淳二氏)という。

Webアプリケーションの脆弱性

 Webアプリケーションについては、59件の取り扱いを終了し、修正が完了したものは54件。そのうち23件ではサイト運営者からIPAに終了確認を依頼され、確認作業を行っている。

 Web運営者によって脆弱性はないとされたものは4件で、該当サイトの削除で対応したものは1件あった。一方、サイト運営者と連絡が取れず取り扱い不能となったものは3件。不受理は4件あった。

取り扱い終了 取り扱い中(四半期末時点) 取り扱い不能 不受理 合計
2004年第3四半期 19 34 16 4 73
2004年第4四半期 40 51 10 0 67
2005年第1四半期 59 56 3 4 71
合計 118 29 8 211

 脆弱性の種類は、届出受付開始から「クロスサイト・スクリプティング」(56%)が多い傾向は変わらないという。だが、「SSI(Server Side Include)インジェクション」「クロスサイト・リクエスト・フォージェリ」など新たな脅威に対する届出も出てきている。

 これを踏まえ、IPAでは3月に電子商取引サイト向けにセキュリティ上の注意点をまとめた文書を公表し、注意を促している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ