Internet Watch logo
記事検索
最新ニュース

オープンソースソフトウェアの脆弱性に関する届出が増加~IPA


 情報処理推進機構(IPA)は19日、2006年第2四半期(4月~6月)における脆弱性関連情報の届出状況をとりまとめた。

 ソフトウェア製品についての届出は84件で、過去最高を記録した。特にオープンソースソフトウェア(OSS)に関する届出が57件と、著しく増加しているという。2004年7月に届出の受付を開始してからの累計は257件に達する。

 このうち不受理を除いた215件について製品の種類別の内訳を見ると、Webアプリケーションソフトが最も多く43%を占めた。これにはPCなどのコンピュータ上で動くものだけでなく、携帯機器や情報家電、PC周辺機器などに関するものも含まれるという。次いでWebブラウザの13%、グループウェアの8%と続く。

 今四半期は、このうちの22件について、IPAとJPCERTコーディネーションセンター(JPCERT/CC)が運営する脆弱性情報サイト「JVN(JP Vendor Status Notes)」において公表したが、これも過去最高だという。この中には、ファイル交換ソフト「Winny」のバッファオーバーフローの脆弱性も含まれる。JVNで公表した脆弱性情報は、累計で89件に上る。

 一方、Webアプリケーションについての届出は今四半期に57件あり、累計では564件になった。このうち、今四半期に修正を完了したものは31件で、累計では297件になる。

 564件のうち不受理を除いた526件について種類別内訳を見ると、クロスサイトスクリプティングが最も多く40%を占めている。次いでSQLインジェクションの21%が続く。なお、SQLインジェクションの届出の多くは、データベースのエラーメッセージが表示されたページを発見したというものだという。届出制度においてこれまでに取り扱いを終了した77 件のうち、47件はSQLインジェクションの問題が実際にあり、修正したとの報告を受けた。一方、残りの30件はエラーメッセージが表示されていただけで実際にはSQLコマンドを挿入することはできず、SQLインジェクションの問題はなかったとの報告を受けているという。

 IPAでは、多くのWebアプリケーションソフトに脆弱性が発見されていることから、Webサイト運営者に対して、自身のサイトでどのようなソフトを利用しているかを把握し、セキュリティ対策をとるよう呼びかけている。また、一般のインターネットユーザーに対しては、JVNなどの脆弱性情報サイトを参照してパッチ適用などの自発的なセキュリティ対策をとることを求めているほか、脆弱性のあるソフトを使い続けることは避けるよう呼びかけている。


ソフトウェア製品の脆弱性についての届出件数の推移。2006年第2四半期は、オープンソースソフトウェア(OSS)に関する届出が大幅に増えた(IPAの発表資料より引用)

関連情報

URL
  ニュースリリース
  http://www.ipa.go.jp/security/vuln/report/vuln2006q2.html

関連記事
「ファイルの誤った公開」の届出が急増、IPAの脆弱性届出状況(2006/04/20)
IPAの脆弱性届出制度、受理してから製品開発者が公表するまで平均77日(2006/05/23)


( 永沢 茂 )
2006/07/19 19:44

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2006 Impress Watch Corporation, an Impress Group company. All rights reserved.