Internet Watch logo
記事検索
最新ニュース
レゴ、小学生向けプログラミング教材「WeDo 2.0」発売
[2016/01/29]
マクロウイルスを知らない世代の社員が狙われる? 「Office文書を開いて感染」攻撃が再び増加
[2016/01/29]
新gTLD「.shop」、49億円でGMOが落札、AmazonやGoogleなどに競り勝つ
[2016/01/29]
Windows SQL Server 2005サポート終了の4月12日が迫る、報告済み脆弱性の深刻度も高く、早急な移行を
[2016/01/29]
インストール不要の非常駐型セキュリティソフト「Dr.Web CureIt!」、日本語版を無料で提供
[2016/01/29]
筆まめ、中小事業者向け顧客管理ソフト「筆まめ顧客管理 Windows版」発売
[2016/01/29]
大日本印刷が「サイバーナレッジアカデミー」設立、IAIの訓練システムでセキュリティ技術者を養成
[2016/01/29]
「インターネット白書2016」発売、20周年記念の特別版
[2016/01/29]
NEC、中小規模事業者向けセキュリティアプライアンス「Aterm SA3500G」を発売
[2016/01/29]
Synology、2ベイNASのハイエンドモデル「DS216+」、暗号化データも上下100MB/秒以上で高速転送
[2016/01/29]
公安9課が情報流出の危険性を解き明かす、「攻殻機動隊 S.A.C.」の描き下ろしPDFコミック「HUMAN-ERROR TRAPS」無償公開
[2016/01/29]
Google Playに「マンガストア」オープン、ジャンプコミックスも配信開始
[2016/01/28]
BIGLOBE、電力とインターネットのセットプラン、中部電力の首都圏エリア展開に合わせ
[2016/01/28]
ウェブブラウザーのプライベートブラウジング機能、認知していた人は23.1%
[2016/01/28]
LINE、違う電話番号のスマホから一方的にアカウント移管操作を行えないよう仕様変更
[2016/01/28]
LINEのiPhone版アプリがiPadにも対応、「LINE for iPad」より多機能、大画面で音声・ビデオ通話が可能に
[2016/01/28]
Microsoft、Officeと他社クラウドストレージとの連携を強化
[2016/01/28]
Googleのディープラーニングシステムによって、人工知能が初めて囲碁のプロ棋士に勝利
[2016/01/28]
ソラコム、IoTプラットフォーム「SORACOM」と既存システムを専用線でつなぐサービスや認証機能など提供開始
[2016/01/28]
Google「Chrome 48」iOS版ではクラッシュ率70%低下、JavaScript実行速度も大幅改善
[2016/01/28]

IPAの脆弱性届出制度、Webサイト運営者への認知拡大が課題


Webサイト運営者に向けて、脆弱性届出制度への理解と協力をあらためて求めたいとするIPAセキュリティセンター長の早貸淳子氏(右)
 独立行政法人情報処理推進機構(IPA)と有限責任中間法人JPCERTコーディネーションセンター(JPCERT/CC)は18日、7月より実施している脆弱性情報の届出制度の状況をとりまとめた。9月までの3カ月間で、ソフトウェアに関する脆弱性が19件、Webアプリケーションに関する脆弱性が73件寄せられ、このうちソフトウェアで3件、Webアプリケーションで10件について、ベンダーやWebサイト運営者によって脆弱性の対策・修正が行なわれた。

 この制度は、経済産業省が告示した「ソフトウエア等脆弱性関連情報取扱基準」に基づいて7月8日に受付がスタートしたもの。ソフトウェアやWebアプリケーションに関する脆弱性を発見した個人などからの届出をIPAで受け付け、JPCERT/CCがベンダーやWebサイト運営者などとの連絡や脆弱性情報の公表に関わる調整を行なう流れとなっている。ソフトウェアの脆弱性については、対策が完了したものをWebサイト「JP Vendor Status Notes(JVN)」で公表している。


制度を通じてSSL-VPN製品のCookieの脆弱性が修正・公表に

 ソフトウェアの脆弱性19件のうち、9月までに対策が完了済みなのは、1)SSL-VPN製品でCookie情報が漏洩してセッションハイジャックされる脆弱性、2)ネオジャパンのWebグループウェア「desknet's」におけるなりすましや個人情報の漏洩につながる脆弱性、3)ウイルス対策ソフト「ウイルスバスターコーポレートエディション」でポリシー設定ファイルが閲覧できてしまう脆弱性──の3件で、JVNですでに情報を公表済みだ。特にSSL-VPNの脆弱性については複数製品に関わる問題のため、JPCERT/CCでは国内ベンダーのみならず海外ベンダーも含めて調整を行なったという。

 対策が完了した3件のほかは、ベンダーにより脆弱性ではないと判断されたものが1件、製品の仕様であり脆弱性ではないとして制度の対象外とされたものが2件、届出時にはすでに公表されていたために同じく対象外とされたものが1件あった。残る12件については「取り扱い中」となっている。ただし、このうち1件は東芝のHDD搭載DVDレコーダーが不正中継に悪用されるという問題で、10月に入ってから東芝側から対応方法などが公表され、JVNにも情報を掲載済みだ。

 なお、現時点でこの枠組みに参加しているベンダーは、国内のソフトウェアベンダーの1割に満たないという。今後、ネット家電ベンダーも含めて登録を呼びかけたいとしている。


IPAからの脆弱性指摘メールがフィッシングに勘違いされる場合も?

 Webアプリケーションの脆弱性については、73件のうち19件について制度の取り扱いプロセスを完了している。内訳は、脆弱性の修正を完了したものが10件、運用により脆弱性を回避したものが4件、Webサイト運営者により脆弱性ではないと判断されたものが5件だった。さらに、現在も取り扱い中の34件のうち4件について、すでに修正完了の報告を受けており、IPAによる確認中だという。

 このほか、届出時には対策済みで制度の対象外となったものが1件、海外向けを想定したサイトのために対象外となったものが3件あったが、残る16件が連絡が付かないなどの理由で「取り扱い不能」として処理されている。IPAとJPCERT/CCでは、届出により指摘があったWebサイトの運営者に対してメールと電話で連絡をとっているが、この制度自体を知らないWebサイト運営者からはセールスやフィッシング詐欺と勘違いされ、取り合ってくれない場合があるためだ。そのため、せっかく脆弱性を指摘する届出をIPAに出しても解決につながらない事例が増えれば、脆弱性の発見者がこの制度自体を利用しようとする意識が薄れ、インターネット上の匿名掲示板などで個別に脆弱性を公表する形態に後戻りする懸念があるとしている。

 指摘のあったWebサイトの運営者別の内訳は、企業が53件、団体が7件、個人が7件、地方公共団体が3件など。ソフトウェアベンダーと異なり、Webサイトは運営者が多様なため、業界団体を通じて認知を図ることも難しいという。大手企業やISPは制度を認知しているものの、個人商店などでにはまだまだ知られていないのが実情だ。IPAとJPCERT/CCでは、Webサイト運営者に対して、Webアプリケーションの作成にあたっては十分にチェックするよう呼びかけるとともに、この制度への理解と協力をあらためて呼びかけている。また、本当にIPAからの連絡か疑わしい場合には、メール( vuln-inq@ipa.go.jp )または電話(03-5978-7527)でIPAに連絡するよう求めている。

 なお、Webアプリケーションの脆弱性における種類別の内訳は、「クロスサイトスクリプティング」が最も多く37%、次いで「パス名パラメータの未チェック」が34%を占めた。これは、あるWebアプリケーションのコンポーネントが多くのWebサイトで使用されていたためだという。以下、「価格等の改ざん」が15%、「ファイルの誤った公開」が4%、「セッション管理の不備」が3%などと続いている。

関連情報

URL
  ニュースリリース
  http://www.ipa.go.jp/security/vuln/report/vuln2004q3.html
  JP Vendor Status Notes
  http://jvn.jp/

関連記事
IPA、ソフトウェアやWebアプリの脆弱性情報の受け付け開始(2004/07/08)
IPAとJPCERT/CC、脆弱性関連情報取り扱い説明会を開催(2004/07/21)
脆弱性情報届出制度は運用しながら改善を~パネルディスカッション(2004/09/10)


( 永沢 茂 )
2004/10/18 16:55

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2004 Impress Corporation, an Impress Group company. All rights reserved.