スタートから1年、脆弱性情報届出は1日1.4件ペース

脆弱性情報届出制度がスタートして1年。届出累計は339件、営業日換算で1日1.42件の届出があったことになる。

[堀哲也，ITmedia]

　脆弱性情報届出制度がスタートして1年。情報処理推進機構（IPA）とJPCERTコーディネーションセンター（JPCERT/CC）は7月19日、2005年第2四半期（4月〜6月）の脆弱性関連情報の届出状況をまとめた。

　1年での届出累計は339件、営業日換算で1日1.42件の届出があった計算となる。ソフトウェアの脆弱性については62件中40件分の取り扱いを終了し、Webアプリケーションの脆弱性については277件中153件の取り扱いを終了した。

	2004年第3四半期	2004年第4四半期	2005年第1四半期	2005年第2四半期	合計
ソフトウェア製品に関する届出	19	13	12	18	62
Webアプリに関する届出	73	67	71	66	277
合計	92	80	83	84	339

　届出件数は四半期当たり80〜90件程度と安定している。当初は認知不足によって、Webアプリケーションの脆弱性が「取り扱い不能」となるケースも多かったが、2005年第2四半期には減少傾向になり始めるなど変化も見え始めた。

2005年第2四半期、ソフトウェア製品の脆弱性

　2005年第2四半期の届出件数は、ソフトウェア製品に関するもの18件、Webアプリケーションに関するもの66件の合計84件。

　2005年第2四半期には、ソフトウェアの脆弱性として12件を公表しているが、傾向としてみられるのはWebに関係する届出が多い点だ。Webブラウザの脆弱性が最も多いのは依然変わらない傾向だが、前期の23％という状況に比べて、2005年第2四半期には31％と約3分の1を占めるところまで増えた。

　今期は「ppblogにおけるクロスサイトスクリプティングの脆弱性」「Movable Typeにおけるセッション管理の脆弱性」などとWeb系作成ツールの脆弱性の公表も多い。「全体の傾向として、環境や技術などを必要とするソフトウェアの脆弱性はやはり届けられにくい傾向にある」と、情報セキュリティ技術ラボラトリー長の福澤淳二氏。IPAでは、これらは1サイトの修正で脆弱性が解消されないため、ソフトウェア製品に関する脆弱性に分類している。

SQLインジェクションの届出が増加、取り扱い不能は減少傾向

　Webアプリケーションの脆弱性については、35件の取り扱いを終了した（修正完了33件、削除1件、運営者により脆弱性はないと判断されたもの1件）。そのほか、連絡が取れず取り扱い不能は2件、不受理4件という内訳だった。

　2005年第2四半期の傾向として、クロスサイトスクリプティングの届出が減り、その分SQLインジェクションが増えている。SQLインジェクションとは、入力フォームなどに不正入力することで任意のSQL文を実行させるもの。

　「SQLインジェクションによる事件がこの期に多く報道されたことや、比較的見つけやすいクロスサイトスクリプティングは初期の段階で既に多く届けられたためだろう」と福澤氏は分析する。

　取り扱い状況のステータスとして、取り扱い不能の割合が減少したのも特徴だ。3月末には29件あったものが27件までに改善された。これまで電子メールで連絡していたやり方を電話に変更したことで、確実に連絡が取れるようになったため。「当初は個人サイトに関する届出が中心だったが、組織のサイトなどへと広がってきており、代表電話であればほとんど連絡をとれるようになった」（福澤氏）という。