 |
 |
記事検索 |
最新ニュース |
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
オープンソースソフトウェアの脆弱性に関する届出が増加~IPA |
||||||||||
|
||||||||||
|
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
情報処理推進機構(IPA)は19日、2006年第2四半期(4月~6月)における脆弱性関連情報の届出状況をとりまとめた。 ソフトウェア製品についての届出は84件で、過去最高を記録した。特にオープンソースソフトウェア(OSS)に関する届出が57件と、著しく増加しているという。2004年7月に届出の受付を開始してからの累計は257件に達する。 このうち不受理を除いた215件について製品の種類別の内訳を見ると、Webアプリケーションソフトが最も多く43%を占めた。これにはPCなどのコンピュータ上で動くものだけでなく、携帯機器や情報家電、PC周辺機器などに関するものも含まれるという。次いでWebブラウザの13%、グループウェアの8%と続く。 今四半期は、このうちの22件について、IPAとJPCERTコーディネーションセンター(JPCERT/CC)が運営する脆弱性情報サイト「JVN(JP Vendor Status Notes)」において公表したが、これも過去最高だという。この中には、ファイル交換ソフト「Winny」のバッファオーバーフローの脆弱性も含まれる。JVNで公表した脆弱性情報は、累計で89件に上る。 一方、Webアプリケーションについての届出は今四半期に57件あり、累計では564件になった。このうち、今四半期に修正を完了したものは31件で、累計では297件になる。 564件のうち不受理を除いた526件について種類別内訳を見ると、クロスサイトスクリプティングが最も多く40%を占めている。次いでSQLインジェクションの21%が続く。なお、SQLインジェクションの届出の多くは、データベースのエラーメッセージが表示されたページを発見したというものだという。届出制度においてこれまでに取り扱いを終了した77 件のうち、47件はSQLインジェクションの問題が実際にあり、修正したとの報告を受けた。一方、残りの30件はエラーメッセージが表示されていただけで実際にはSQLコマンドを挿入することはできず、SQLインジェクションの問題はなかったとの報告を受けているという。 IPAでは、多くのWebアプリケーションソフトに脆弱性が発見されていることから、Webサイト運営者に対して、自身のサイトでどのようなソフトを利用しているかを把握し、セキュリティ対策をとるよう呼びかけている。また、一般のインターネットユーザーに対しては、JVNなどの脆弱性情報サイトを参照してパッチ適用などの自発的なセキュリティ対策をとることを求めているほか、脆弱性のあるソフトを使い続けることは避けるよう呼びかけている。
関連情報 ■URL ニュースリリース http://www.ipa.go.jp/security/vuln/report/vuln2006q2.html ■関連記事 ・ 「ファイルの誤った公開」の届出が急増、IPAの脆弱性届出状況(2006/04/20) ・ IPAの脆弱性届出制度、受理してから製品開発者が公表するまで平均77日(2006/05/23)
( 永沢 茂 )
- ページの先頭へ-
|
