「ソフトウエアやWebサイトのセキュリティ・ホール届け出は1年間で300件超」---IPAなど

勝村幸博

2005.07.19

　情報処理推進機構（IPA）とJPCERTコーディネーションセンター（JPCERT/CC）は7月19日，2005年第2四半期（4～6月）中に報告されたソフトウエアやWebサイト（Webアプリケーション）の脆弱性（セキュリティ・ホール）情報を集計して公表した。それによると，ユーザーなどからIPAへ寄せられたソフトウエア製品に関する脆弱性は18件，Webサイトに関する脆弱性は66件だった。脆弱性情報の届け出制度を開始した2004年7月からの累計は，それぞれ62件および277件で，計339件にのぼる。

　また，2005年第2四半期中にIPAおよびJPCERT/CCから公表された脆弱性情報は，以下の12件だった。

（1）nProtect : Netizen に複数の脆弱性
（2）Wiki クローンにおけるクロスサイトスクリプティングの脆弱性
（3）メールクライアントソフトにおける mailto URL scheme の不適切な解釈
（4）ppBlog におけるクロスサイトスクリプティングの脆弱性
（5）バッファロー製ルータにおける設定画面のリモートアクセスとパスワード漏洩の脆弱性
（6）w3ml におけるクロスサイトスクリプティングの脆弱性
（7）WebUD における任意のプログラムが実行される脆弱性
（8）Movable Type におけるセッション管理の脆弱性
（9）「ウイルスセキュリティ」におけるヒープオーバーフローの脆弱性
（10）「ウイルスセキュリティ」におけるメモリリークの脆弱性
（11）desknet's におけるクロスサイトスクリプティングの脆弱性
（12）SFS におけるクロスサイトスクリプティングの脆弱性

　このうち，（1）～（3）は複数の製品が影響を受ける脆弱性である。（2）（4）（6）（8）などに見られるように，「最近では，Webサイトを構築するためのソフトウエアに比較的多く脆弱性が見つかっている」（IPA 情報セキュリティ技術ラボラトリー長の福澤淳二氏）。

　2005年第2四半期中に修正が完了したWebサイトは33件だった。

　2004年7月からの累計では，ソフトウエア製品に関する届け出件数は62件。そのうち，公表済みは29件，脆弱性ではないと判断されたものが11件，取り扱い中が16件，「届け出の対象には該当しない」として不受理とされたものが6件である。

　Webサイトについては，届け出件数の累計は277件。そのうち，修正が完了したとされるものが124件（IPAで修正を確認したものは55件），Webサイト運営者が「脆弱性ではない」と判断したものが16件，修正せずに「運用で回避」するとしているケースが4件，該当ページを削除して対応したケースが9件，現在取り扱い中が85件，サイト運営者と連絡が取れないケースが27件，「届け出の対象には該当しない」として不受理とされたものが12件——だった。