脆弱性関連情報の届け出件数の四半期別推移(IPAの発表資料から引用)
脆弱性関連情報の届け出件数の四半期別推移(IPAの発表資料から引用)
[画像のクリックで拡大表示]
脆弱性の修正完了件数の四半期別推移(IPAの発表資料から引用)
脆弱性の修正完了件数の四半期別推移(IPAの発表資料から引用)
[画像のクリックで拡大表示]

 情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は2008年1月18日、2007年第4四半期(2007年10月1日から12月31日まで)における、ソフトウエアとWebサイトの脆弱(ぜいじゃく)性に関する届け出状況を公表した。それによると、ソフトウエアに関する届け出は66件、Webサイトに関する届け出は80件だった。また、届け出に基づいて修正された脆弱性の累計(2004年7月から2007年12月)は、12月末までに1002件に達したという。

 IPAとJPCERT/CCは2004年7月以降、経済産業省告示に基づいて、ソフトウエアやWebサイトに関する脆弱性情報をユーザーから受け付け、ソフトウエアの開発者やWebサイトの運営者などに報告し、修正のために必要な調整を行っている。加えて四半期ごとには、届け出状況や取り扱い状況を集計して公表している。

 今回公表した2007年第4四半期では、この期間中に届け出があった脆弱性情報が計146件。2004年7月からの累計では、ソフトウエアに関する届け出が626件、Webサイトに関するものが1123件で、総計では1749件に達する(図1)。

 今までに報告された脆弱性のうち、2007年第4四半期にソフトウエアの開発者やWebサイトの運営者から「修正完了」の報告が寄せられたものは124件で、内訳はソフトウエアが31件、Webサイトが93件。四半期中に寄せられた修正完了報告の件数としては、いずれについても過去最多となった。

 2004年7月からの累計では、修正が完了したソフトウエアが254件、Webサイトが748件で、計1002件に達した(図2)。つまり、脆弱性の届け出制度によって、1000件を超えるソフトウエア/Webサイトの脆弱性が修正されたことになる。

 IPAでは、脆弱性が報告されたWebサイトの運営者に対して、脆弱性の詳細情報を送付。返信がない場合には、1~2カ月ごとにメールや郵便などで脆弱性対策を促しているという。

 特に今四半期は、「修正完了」の報告がなかなか送られてこないWebサイトに対して、脆弱性が攻撃された場合の具体的な脅威を分かりやすく解説するなどして、重点的に脆弱性対策を促した。その結果、脆弱性の報告から90日以上経過している「修正未完了」のWebサイトが、2007年第3四半期の117件から95件に減少した。「修正完了」の報告件数が過去最多になったのも、この効果だと考えられる。

 とはいえ、「修正未完了」のソフトやWebサイトはまだまだ存在する。脆弱性の報告から300日以上経過している未修正サイトは39件あるという。このためIPAでは、ソフトウエアの開発者やWebサイトの運営者に対して、脆弱性を攻撃された場合の脅威を認識し、できるだけ早急に対策を施してほしいと呼びかけている。