独立行政法人 情報処理推進機構(IPA)は1月25日,2004年第4四半期(10~12月)中に報告されたソフトウエアやWebサイト(Webアプリケーション)の脆弱性(セキュリティ・ホール)情報を集計して公表した。それによると,ソフトウエアとWebサイトの脆弱性に関する届け出は,それぞれ13件および67件。脆弱性情報の届け出制度を開始した2004年7月からの累計は,それぞれ32件および140件で計172件にのぼる。
脆弱性情報の届け出制度とは,2004年7月7日に制定された経済産業省告示「ソフトウエア等脆弱性関連情報取扱基準(PDFファイル)」に基づく制度(関連記事)。IPAが受付機関に,JPCERTコーディネーションセンター(JPCERT/CC)が調整機関となって,ソフトウエアやWebサイトの脆弱性情報をユーザーなどから受け付ける。そして,寄せられた情報を分析するとともに,ソフトウエア・ベンダーやWebサイト運営者に通知し,対応や公表を促す。
対応済みのソフトウエアに関する脆弱性情報については,IPAとJPCERT/CCが共同で運営する「JP Vendor Status Notes」でも公表する。なお,Webサイトの脆弱性情報については公表しない。
10月から12月までに報告されたソフトウエアに関する脆弱性13件のうち,既に公表されているものが8件,現在取り扱っている最中で非公開の脆弱性が2件だった。また,IPAが脆弱性ではないと判断して不受理としてものが1件,製品開発者により脆弱性ではないと判断されたものが2件だった。
公表している脆弱性は以下の8件。いずれも「JP Vendor Status Notes」で公開している。
- 東芝製HDD&DVDビデオレコーダーへ認証なしでアクセス可能
- DNSキャッシュサーバのTCP SYN_SENT 状態によるリソース消費
- 鶴亀メールにおけるS/MIMEの署名検証に脆弱性
- desknet's に脆弱性
- Becky! Internet Mail におけるS/MIMEの署名検証に脆弱性
- Shuriken Pro3 のS/MIME機能で署名検証時にFromアドレスが確認されない
- Namazu におけるクロスサイトスクリプティングの脆弱性
- Shuriken Pro3 のS/MIME機能で署名検証時に証明書の真正性が確認されない
10月から12月までに報告されたWebサイトに関する脆弱性67件のうち,サイト運営者により修正されたものが27件,該当ページを削除して対応したサイトが7件だった。このほか,サイト運営者が脆弱性ではないと判断したものが6件,サイト運営者と連絡を取れないために取り扱えないケースが10件だった。残りの17件については現在取り扱い中。
◎参考資料
◆脆弱性関連情報の取扱い(IPA)
◆脆弱性情報コーディネーション概要(JPCERT/CC)
(勝村 幸博=IT Pro)
