脆弱性が修正されないソフトは使用中止の検討を――IPAが新制度

ソフト開発者と1年以上連絡が取れないケースではユーザーの安全を考慮し、使用中止の判断ができるようにするという。

[ITmedia]

　情報処理推進機構（IPA）とJPCERT コーディネーションセンター（JPCERT/CC）は9月3日、長期にわたって脆弱性が修正されない状態となっているソフトウェア製品の情報を公開する新たな制度の運用を開始した。こうしたソフトではユーザーが危険な状態に置かれたままになるため、新制度は「当該製品を使用しないという選択を可能にするため」だとしている。

　IPAとJPCERT/CCは、2004年7月から「脆弱性関連情報届出制度」を運用する。これまで2123件の届出があり、うち1836件を脆弱性として受理し、1667件でソフトウェア開発者による修正対応などが行われている。しかし、169件は開発者と連絡が取れない状況で、脆弱性が放置されたままになっている。2011年からは「連絡不能開発者一覧」を公表して、開発者との連絡につながる情報提供を求める運用も行っている。

脆弱性関連情報の取り扱いの流れ（IPA）

　今回の新制度は、こうした取り組みでも連絡ができない開発者と製品の情報について、IPAの「公表判定委員会」で審議し、妥当と判断されたものを「Japan Vulnerability Notes JP （連絡不能）一覧」公開する。IPAは同日、クロスサイトスクリプティングの脆弱性が報告されている2製品・計2件の情報を公開した。

新制度で公開された情報

　公開された情報ではこれまでの対応経緯や公表理由などを説明し、ユーザー向けに「使用中止を検討してください」と記載している。IPAは、「ユーザーも自主的に脆弱性情報を収集し、安全な利用環境の保持に努めることが一層求められる」と新制度への理解を求めている。