Webサイトの脆弱性届出が過去最高に――IPAらが早期対処を呼びかけ

IPAとJPCERT/CCが公開した2007年第3四半期（7〜9月）のWebサイトの脆弱性届出件数は、四半期ベースで過去最高となった。

[ITmedia]

　情報処理推進機構（IPA）とJPCERTコーディネーションセンター（JPCERT/CC）は10月22日、2007年第3四半期（7〜9月）のソフトウェアおよびWebサイトの脆弱性届出状況を発表した。

脆弱性関連情報の四半期別届出件数の推移（IPA資料より）

　同四半期中の届出件数は、ソフトウェア関連が49件、Webサイト関連が103件。受け付けを開始した2004年7月以降、累計ではソフトウェア関連が560件、Webサイト関連が1043件となる。四半期ベースでは、特にWebサイト関連の届出件数が過去最高となった。

　また、同四半期中に対処が行われたものは、ソフトウェア関連が20件、Webサイト関連が53件。ソフトウェア関連では、開発者による修正が完了したのが18件、開発者が個別対応を行ったものが2件となった。Webサイト関連では、脆弱性の修正が完了したものが26件、サイト運営者が「脆弱性ではない」と判断したものが24件、届出対象に該当せずに不受理とされたものが3件となった。

　Webサイト関連の脆弱性として届けられた全1043件のうち、修正が完了したものは655件、Webサイト運営者が「脆弱性ではない」と判断したものが111件、処理途中のものが198件、IPAが不受理としたものが72件、サイト運営者に連絡できないものが7件となっている。

修正が長期化しているWebサイトの未修正の経過日数と脆弱性の種類（同）

　修正が完了した655件のうち、79％はWebサイト運営者へ脆弱性の詳細情報を通知してから90日以内に脆弱性の修正が完了した。一方で、最初の通知から300日以上も脆弱性の修正が行われていないものは50件となった。

　IPAとJPCERT/CCによれば、フィッシング詐欺に悪用される恐れのある「クロスサイトスクリプティング」や、Webサイトの情報が盗まれる恐れのある「SQLインジェクション」など、深刻度の高い脆弱性の修正の遅れが長期化しているという。IPAとJPCERT/CCではWebサイト運営者に対し、脆弱性を攻撃された場合の脅威を認識して、早期に問題を解決するよう呼びかけている。