情報処理推進機構(IPA)は4月19日,2005年第1四半期(1~3月)中に報告されたソフトウエアやWebアプリケーション(Webサイト)の脆弱性(セキュリティ・ホール)情報を集計して公表した。それによると,ソフトウエアの脆弱性に関する届け出は12件,Webアプリの脆弱性については71件だった。また,脆弱性情報の届け出制度を開始した2004年7月からの累計は,それぞれ44件および211件だった。
脆弱性情報の届け出制度は,2004年7月7日に制定された経済産業省告示「ソフトウエア等脆弱性関連情報取扱基準」に基づく。同制度では,IPAが受付機関になり,ソフトウエアやWebサイトの脆弱性情報を受け付ける。そして,JPCERTコーディネーションセンター(JPCERT/CC)が調整機関となり,寄せられた情報を分析するとともに,ソフトウエア・ベンダーやWebサイト運営者に通知し,対応や公表を促す。
IPAの発表資料によると,2005年3月末までに寄せられたソフトウエアの脆弱性情報は累計で44件。そのうち,公表済みが17件(2005年1~3月に公表されたのは6件),脆弱性ではないと判断されたものが3件,取り扱い中が20件,IPAが受理しなかったものが4件だった。
Webアプリケーションの脆弱性については,2005年3月末までの届け出累計が211件。そのうち,修正が完了するなどして,取り扱いが終了したものが118件,取り扱い中が56件,不受理が8件だった。また,サイト運営者に連絡がつかないなどの理由で「取り扱い不能」とされたものが29件だった。報告された脆弱性のうち,最も多かったのがクロスサイト・スクリプティングの脆弱性(114件)で,全体の半分以上を占めた。
◎参考資料
◆ソフトウエア等の脆弱性関連情報に関する届出状況 [2005年第1四半期(1月~3月)]
◆ソフトウエア等の脆弱性関連情報に関する届出状況(PDFファイル)
(勝村 幸博=IT Pro)
