独立行政法人 情報処理推進機構(IPA)は10月18日,2004年第3四半期のソフトウエア製品やWebサイトの脆弱性情報の届け出状況を発表した。脆弱性情報の届け出窓口は7月8日に設置されたもの。7月8日から9月末までに,ソフトウエア製品に関する脆弱性報告が19件,Webサイトに関する脆弱性報告が73件あった。脆弱性の報告があったものは,有限責任中間法人 JPCERT コーディネーションセンター(JPCERT/CC)とIPAが中心となり,内容を調査し,対策を講じるよう関係者に通知。その結果9月末の時点で,ソフトウエア製品については3件,Webサイトについては10件が修正を完了した。
ソフトウエア製品の脆弱性については,報告があった19件中16件が脆弱性の調査対象となり,1件は製品開発者によって脆弱性ではないと判断された。現在,12件が対策に取り組み中である。対策が完了した3件は,複数のSSL-VPN製品におけるCookieの脆弱性,グループウエア「desknet's」の脆弱性,セキュリティ対策ソフト「ウィルスバスターコーポレートエディション」の脆弱性,がある。ソフトウエア製品の脆弱性の対応状況は,JP Vendor Status Notesで,逐次,公開されている。
Webサイトの脆弱性は,報告があった73件中69件が調査対象となり,サイト運営者により脆弱性ではないと判断されたものが5件ある。現在,34件が対策中の状況である。対策が完了した10件と運用で回避した4件のうち,最も多かった脆弱性は,クロスサイト・スクリプティングである。クロスサイト・スクリプティングの修正には平均で15日かかっている。また,インターネット上に公開されている,あるcgiプログラムに脆弱性が判明し,そのプログラムを利用する多くのサイトで脆弱性が存在することが分かった例もある。「Webアプリケーションの作成にあたって,脆弱性がないかのチェックを十分に行って設計してほしい」(IPA セキュリティセンター センター長 早貸淳子氏)。
また,脆弱性の調査対象となったWebサイトのうち,16件がサイトの運営者と連絡が取れない状態になり,対策が取れないままとなっている。これは,「脆弱性情報の届け出制度自体がまだ知られておらず,(IPAからの連絡が)一部にはフィッシング・メールやオレオレ詐欺の電話のように誤解されてしまうケースもある」(早貸氏)。IPAでは同制度と連絡窓口(メール・アドレス:vuln-inq@ipa.go.jp,電話番号:03-5978-7527)についても,周知徹底を図っていく。
![Word 最速時短術 [増補新版]](https://info.nikkeibp.co.jp/atclnxt/books/25/03/07/00396/B_9784296207329.jpg)
