IPA、2005年第1四半期の脆弱性関連情報の取扱状況を発表
IPAとJPCERT/CCは、2005年第1四半期の脆弱性関連情報の届出状況をまとめた。
情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は4月19日、2005年第1四半期(1月-3月)の脆弱性関連情報の届出状況をまとめた。
脆弱性関連情報の届出制度は、経産省の告示に基づき、ベンダーの自発的な改善に依存することなく、悪用を防ぎつつ脆弱性に対応する目的で定められた制度。IPAが届出の窓口機関となり、JPCERT/CCとIPAがそれぞれ調整役を担っている。
2005年第1四半期では、ソフトウェアに関する届出は12件あり、Webアプリケーションに関するものは71件。2004年7月に受付を開始してからの累計255件となった。営業日あたり1.45件の届出があったことになる。
ソフトウェア製品の脆弱性として公表したのは、「LDAPサーバの更新機能におけるバッファオーバーフローの脆弱性」などの6件。そのほか、製品間初者自身から連絡を受けた公表したものが1件あった。2004年第1四半期に製品開発者によって脆弱性ではないと判断されたものや、不受理とされたものはなかった。
| 公表 | 脆弱性ではない | 不受理 | 取り扱い中(四半期末時点) | ||
|---|---|---|---|---|---|
| 2004年第3四半期 | 3 | 1 | 3 | 12 | |
| 2004年第4四半期 | 8 | 2 | 1 | 14 | |
| 2005年第1四半期 | 6 | 0 | 0 | 20 | |
| 合計 | 17 | 3 | 4 | ― | |
依然、届出のうち、Webブラウザや電子メールクライアント、ウイルス対策ソフトに関する脆弱性が半数を超えるているものの、「範囲は携帯電話や情報家電といった組み込みにまで広がってきた傾向にある」(IPA/ISECの福澤淳二氏)という。
Webアプリケーションの脆弱性
Webアプリケーションについては、59件の取り扱いを終了し、修正が完了したものは54件。そのうち23件ではサイト運営者からIPAに終了確認を依頼され、確認作業を行っている。
Web運営者によって脆弱性はないとされたものは4件で、該当サイトの削除で対応したものは1件あった。一方、サイト運営者と連絡が取れず取り扱い不能となったものは3件。不受理は4件あった。
| 取り扱い終了 | 取り扱い中(四半期末時点) | 取り扱い不能 | 不受理 | 合計 | ||
|---|---|---|---|---|---|---|
| 2004年第3四半期 | 19 | 34 | 16 | 4 | 73 | |
| 2004年第4四半期 | 40 | 51 | 10 | 0 | 67 | |
| 2005年第1四半期 | 59 | 56 | 3 | 4 | 71 | |
| 合計 | 118 | ― | 29 | 8 | 211 | |
脆弱性の種類は、届出受付開始から「クロスサイト・スクリプティング」(56%)が多い傾向は変わらないという。だが、「SSI(Server Side Include)インジェクション」「クロスサイト・リクエスト・フォージェリ」など新たな脅威に対する届出も出てきている。
これを踏まえ、IPAでは3月に電子商取引サイト向けにセキュリティ上の注意点をまとめた文書を公表し、注意を促している。
関連記事
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- LINE ヤフーで個人情報が約30万件漏えい 不正アクセスの原因は?
- Microsoft Igniteの重要発表を網羅 Copilotは働き方をどのように変える?(Microsoftのビジネスアプリケーション最終稿)
- 短縮URLという“根本解決できない問題”に企業はどう立ち向かえばいいのか?
- 大阪急性期・総合医療センターが新ランサムウェア対策を発表
- 年末の大掃除とともに、PCの中も整理をしてみませんか?
- Oracleが目指すのはエンタープライズのためのAI 他社との差別化は成功するか
- 日本のDXは停滞している?――ITRの最新調査から「現在地」を探る
- フィッシングを簡単に実行できる多機能ツールキット「Telekopye」とは?
- 「レアメタル不足」を回避できるか? 中国の輸入規制に日米韓が対抗策
- SAPが進める生成AIの実装 新たに発表された「SAP Spend Control Tower」とは
ITmediaはアイティメディア株式会社の登録商標です。