情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は25日、2004年第4四半期(10月~12月)の脆弱性関連情報の届出状況を公表した。期間中に届出のあったソフトウェア製品の脆弱性関連情報は13件、Webアプリケーションの脆弱性関連情報は67件となっている。
IPAとJPCERT/CCでは経済産業省の告示に基づき、脆弱性関連情報の届出の受付と、国内の製品開発者などの関連組織との調整を行なっている。2004年第4四半期に届出のあったソフトウェア製品の脆弱性関連情報は13件で、東芝のHDD搭載DVDレコーダの認証に関する脆弱性や、全文検索システム「Namazu」のクロスサイトスクリプティングに関する脆弱性など8件を脆弱性情報として公表している。
脆弱性情報の届出制度は2004年7月から実施されており、ソフトウェア製品の脆弱性関連情報の受付開始からの累計は32件となった。32件の内訳は、対策が完了しているものが11件、脆弱性の確認など取り扱い中となっているものが14件、脆弱性ではないものが3件、不受理が4件となっている。
また、Webアプリケーションの脆弱性については期間中に67件の届出があり、受付開始からの累計は140件となった。これを脆弱性の種類で分類すると、クロスサイトスクリプティングに関するものが56%と最も多く、以下パス名パラーメータの未チェックによるものが18%、価格などの改竄が8%、ファイルの誤った公開が4%などとなっている。
2004年第4四半期の届出の特徴としては、システムインテグレータが導入したパッケージソフトに問題があり、複数のWebサイトで同じ脆弱性が発見・報告されたケースが複数あったという。また、新しい攻撃手法として、悪意ある要求をサーバーに送信することでサーバーからの応答を分割させ、応答内容を差し替える「HTTPレスポンス分割」に関する届出が数件あったとしている。HTTPレスポンス分割の脆弱性は、悪用することでWebブラウザのキャッシュ情報をすり替え、フィッシング詐欺などに利用される危険性があるという。
IPAとJPCERT/CCでは、Webの管理者に対してはクロスサイトスクリプティングに関する届出が依然として多いことから、フォームなどのユーザーからの入力に対してスクリプト・命令が含まれていないかのチェックや、想定外のパス名が与えられる可能性がないかといったチェックを行なうように呼びかけている。また、脆弱性を発見した人に対しては、匿名掲示板などに書き込むことは避け、届出制度を利用してほしいとしている。
関連情報
■URL
ニュースリリース
http://www.ipa.go.jp/security/vuln/report/vuln2004q4.html
■関連記事
・ 全文検索システム「Namazu」に脆弱性、最新版ですでに修正済(2004/12/15)
・ 東芝、HDD搭載DVDレコーダ「RD」シリーズが“踏み台”になる危険性(2004/10/06)
・ IPAの脆弱性届出制度、Webサイト運営者への認知拡大が課題(2004/10/18)
・ IPAとJPCERT/CC、脆弱性関連情報取り扱い説明会を開催(2004/07/21)
( 三柳英樹 )
2005/01/25 19:58
- ページの先頭へ-
|