脆弱性報告のうち3分の2はWeb関係

300日以上脆弱性が修正されないWebアプリが累計50件、IPA

2007/10/22

 独立行政法人 情報処理推進機構(IPA)と有限責任中間法人 JPCERTコーディネーションセンター(JPCERT/CC)は10月22日、今年第3四半期(7-9月)のソフトウェアとWebサイト(Webアプリケーション)の脆弱性情報の届け出状況をまとめた。152件の届け出のうち、3分の2がWebアプリケーションに関する報告だった。

 ソフトウェアに関する脆弱性の報告は49件、Webアプリについては103件だった。届け出件数は2004年7月の受付開始から伸び続けていて、営業日当たりの平均は今第3四半期に2.03件となった。累計の届け出件数は1603件。ソフトウェアが560件で、Webアプリは1043件。

 今第3四半期中に処理を終えたソフトウェアの脆弱性は20件。修正が完了して「Japan Vulnerability Notes」(JVN)が対応情報を公開した件数は18件、開発者が個別対応したのは2件だった。

ipa01.jpg 未修正のWebサイト(IPA資料から)

 Webアプリに関しては今第3四半期に処理を完了したのは53件。修正が終わったのは26件で、脆弱性ではないと確認できたのは24件。受理しなかったのは3件だった。脆弱性の報告があり、IPAが開発者に対策を求めても、300日以上対策が行われていない件数は、これまでの累計で50件に達した。IPAは「クロスサイト・スクリプティングやSQLインジェクションのように、深刻度の高い脆弱性でも修正が長期化しているものがある。ウェブサイト運営者は脆弱性を攻撃された場合の脅威を認識し、早期に問題を解決することが必要」としている。

関連リンク

(@IT 垣内郁栄)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)