Internet Watch logo
記事検索
最新ニュース

IPAの脆弱性届出制度、Webサイト運営者への認知拡大が課題


Webサイト運営者に向けて、脆弱性届出制度への理解と協力をあらためて求めたいとするIPAセキュリティセンター長の早貸淳子氏(右)
 独立行政法人情報処理推進機構(IPA)と有限責任中間法人JPCERTコーディネーションセンター(JPCERT/CC)は18日、7月より実施している脆弱性情報の届出制度の状況をとりまとめた。9月までの3カ月間で、ソフトウェアに関する脆弱性が19件、Webアプリケーションに関する脆弱性が73件寄せられ、このうちソフトウェアで3件、Webアプリケーションで10件について、ベンダーやWebサイト運営者によって脆弱性の対策・修正が行なわれた。

 この制度は、経済産業省が告示した「ソフトウエア等脆弱性関連情報取扱基準」に基づいて7月8日に受付がスタートしたもの。ソフトウェアやWebアプリケーションに関する脆弱性を発見した個人などからの届出をIPAで受け付け、JPCERT/CCがベンダーやWebサイト運営者などとの連絡や脆弱性情報の公表に関わる調整を行なう流れとなっている。ソフトウェアの脆弱性については、対策が完了したものをWebサイト「JP Vendor Status Notes(JVN)」で公表している。


制度を通じてSSL-VPN製品のCookieの脆弱性が修正・公表に

 ソフトウェアの脆弱性19件のうち、9月までに対策が完了済みなのは、1)SSL-VPN製品でCookie情報が漏洩してセッションハイジャックされる脆弱性、2)ネオジャパンのWebグループウェア「desknet's」におけるなりすましや個人情報の漏洩につながる脆弱性、3)ウイルス対策ソフト「ウイルスバスターコーポレートエディション」でポリシー設定ファイルが閲覧できてしまう脆弱性──の3件で、JVNですでに情報を公表済みだ。特にSSL-VPNの脆弱性については複数製品に関わる問題のため、JPCERT/CCでは国内ベンダーのみならず海外ベンダーも含めて調整を行なったという。

 対策が完了した3件のほかは、ベンダーにより脆弱性ではないと判断されたものが1件、製品の仕様であり脆弱性ではないとして制度の対象外とされたものが2件、届出時にはすでに公表されていたために同じく対象外とされたものが1件あった。残る12件については「取り扱い中」となっている。ただし、このうち1件は東芝のHDD搭載DVDレコーダーが不正中継に悪用されるという問題で、10月に入ってから東芝側から対応方法などが公表され、JVNにも情報を掲載済みだ。

 なお、現時点でこの枠組みに参加しているベンダーは、国内のソフトウェアベンダーの1割に満たないという。今後、ネット家電ベンダーも含めて登録を呼びかけたいとしている。


IPAからの脆弱性指摘メールがフィッシングに勘違いされる場合も?

 Webアプリケーションの脆弱性については、73件のうち19件について制度の取り扱いプロセスを完了している。内訳は、脆弱性の修正を完了したものが10件、運用により脆弱性を回避したものが4件、Webサイト運営者により脆弱性ではないと判断されたものが5件だった。さらに、現在も取り扱い中の34件のうち4件について、すでに修正完了の報告を受けており、IPAによる確認中だという。

 このほか、届出時には対策済みで制度の対象外となったものが1件、海外向けを想定したサイトのために対象外となったものが3件あったが、残る16件が連絡が付かないなどの理由で「取り扱い不能」として処理されている。IPAとJPCERT/CCでは、届出により指摘があったWebサイトの運営者に対してメールと電話で連絡をとっているが、この制度自体を知らないWebサイト運営者からはセールスやフィッシング詐欺と勘違いされ、取り合ってくれない場合があるためだ。そのため、せっかく脆弱性を指摘する届出をIPAに出しても解決につながらない事例が増えれば、脆弱性の発見者がこの制度自体を利用しようとする意識が薄れ、インターネット上の匿名掲示板などで個別に脆弱性を公表する形態に後戻りする懸念があるとしている。

 指摘のあったWebサイトの運営者別の内訳は、企業が53件、団体が7件、個人が7件、地方公共団体が3件など。ソフトウェアベンダーと異なり、Webサイトは運営者が多様なため、業界団体を通じて認知を図ることも難しいという。大手企業やISPは制度を認知しているものの、個人商店などでにはまだまだ知られていないのが実情だ。IPAとJPCERT/CCでは、Webサイト運営者に対して、Webアプリケーションの作成にあたっては十分にチェックするよう呼びかけるとともに、この制度への理解と協力をあらためて呼びかけている。また、本当にIPAからの連絡か疑わしい場合には、メール( vuln-inq@ipa.go.jp )または電話(03-5978-7527)でIPAに連絡するよう求めている。

 なお、Webアプリケーションの脆弱性における種類別の内訳は、「クロスサイトスクリプティング」が最も多く37%、次いで「パス名パラメータの未チェック」が34%を占めた。これは、あるWebアプリケーションのコンポーネントが多くのWebサイトで使用されていたためだという。以下、「価格等の改ざん」が15%、「ファイルの誤った公開」が4%、「セッション管理の不備」が3%などと続いている。


関連情報

URL
  ニュースリリース
  http://www.ipa.go.jp/security/vuln/report/vuln2004q3.html
  JP Vendor Status Notes
  http://jvn.jp/

関連記事
IPA、ソフトウェアやWebアプリの脆弱性情報の受け付け開始(2004/07/08)
IPAとJPCERT/CC、脆弱性関連情報取り扱い説明会を開催(2004/07/21)
脆弱性情報届出制度は運用しながら改善を〜パネルディスカッション(2004/09/10)


( 永沢 茂 )
2004/10/18 16:55

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2004 Impress Corporation, an Impress Group company. All rights reserved.