第三者作成のソフトを自社サイトで使うときには注意を――IPA

IPAとJPCERT/CCは4月20日、2006年第1四半期（1月〜3月）の脆弱性関連情報の届け出状況をまとめ、公表した。

[ITmedia]

　情報処理推進機構（IPA）とJPCERTコーディネーションセンター（JPCERT/CC）は4月20日、2006年第1四半期（1月〜3月）の脆弱性関連情報の届け出状況および対応状況をまとめ、公表した。

　IPAとJPCERT/CCでは2004年7月より、経済産業省の「ソフトウエア等脆弱性関連情報取扱基準」に基づいて脆弱性関連情報の取り扱いを行ってきた。この枠組みでは、ソフトウェア製品に存在する脆弱性とWebアプリケーションの脆弱性という2つのカテゴリに分けて届け出を受け付け、製品開発者やWeb運営者など関連組織との調整を行っている。

　2006年第1四半期に届け出られたソフトウェアの脆弱性は34件（受付開始からの累計は167件）、Webアプリケーションの脆弱性情報の届け出は72件（累計は507件）となった。また、この期間に公表されたソフトウェアの脆弱性は7件、修正が完了したWebアプリケーションは32件となっている。

　ソフトウェア製品の脆弱性では、2005年第3四半期よりオープンソースソフトウェアに関する届け出が増加しており、今四半期は10件が寄せられたという。

　Webアプリケーションの脆弱性に関してみると、これまでに寄せられた届け出507件のうち、クロスサイトスクリプティングに関するものが最も多く、全体の39％を占めた。次に多いのがSQLインジェクションに関する届け出で、21％となっている。

　またこの四半期は、本来ならば一般に公開すべきでないファイルが自由に閲覧できる状態になっているという「ファイルの誤った公開」に関する届け出が増加した。これは、複数のWebサイトで利用されていたショッピングカートシステムのアクセス制限設定にミスがあったため、利用者の情報が誰でも閲覧できる状態になっていたという届け出があったことによる。

　サイト構築の際、第三者が作成したショッピングカートやメール送信フォームといったソフトウェアをダウンロードするなどして入手し、自社サイトで利用するケースは多い。しかしIPAによると、こうしたソフトに存在する脆弱性や設定ミスによってWebサイトそのものに脆弱性が発生しているケースがある。IPAではWebサイト運営者やシステム構築事業者に対し、他人が作成したソフトを利用する際には安全性を十分確認するよう推奨している。

　なお、Webサイト運営者に脆弱性の詳細情報を通知してからそれが修正されるまでに要した日数を見ると、脆弱性の内容にもよるが、全体の81％は90日以内に修正されたという。特に、「ファイルの誤った公開」に関しては当日中に修正されたものが30％を超える一方で、「セッション管理の不備」は、7割以上が修正に31日以上の期間を要する結果となった。