情報処理推進機構(IPA)は22日、2007年第3四半期(7月~9月)の脆弱性関連情報の届出状況を公表した。第3四半期のIPAへの届出件数は、ソフトウェア製品に関する届出が49件、Webサイトに関する届出が103件の合計152件だった。
IPAでは、脆弱性関連情報の届出を2004年7月から受け付けており、この情報をもとにJPCERT/CCが国内の製品開発者などとの調整を行なっている。IPAが届出の受付を開始してからの累計件数は、ソフトウェア製品が560件、Webサイトが1,043件で、合計1,603件。Webに関する届出が全体の3分の2を占める。
ソフトウェア製品の脆弱性の処理状況については、これまでに届出のあった560件のうち、第3四半期に処理が完了し、脆弱性対策情報ポータルサイト「JVN」で公表したものが18件、製品開発者が個別対応を行なったものが2件で、累計326件の処理が完了している。このほか、海外のCSIRTから連絡を受けた脆弱性対策情報25件をJVNで公表した。
Webサイトの脆弱性の処理状況については、これまでに届出のあった1,043件のうち、第3四半期に修正が完了したものは26件、サイト運営者が脆弱性ではないと判断したものは24件、告示で定める届出の対象に該当せず不受理としたものは3件あり、累計845件の処理が完了している。
これまでにサイトの修正が完了したものが655件あり、その中で、サイト運営者からの依頼を受け、当該脆弱性が適切に修正されたかどうかをIPAが無償で確認したものは113件、サイト運営者が当該ページを削除することにより対応したものは62件、サイト運営者が運用により被害を回避しているものは18件となっている。IPAでは、「修正完了した655件のうち79%が、サイト運営者に脆弱性の詳細情報を通知してから90日以内に脆弱性の修正を完了している。サイト運営者は脆弱性への素早い対応が必要」としている。
また、IPAでは、サイト運営者へ脆弱性の詳細情報を送付してから脆弱性対策の返信がない場合、当初1カ月毎に数回、その後2~3カ月毎にサイト運営者へ、メールや郵送手段などで脆弱性対策を促している。それにも関わらず、300日以上も対策が完了していないものが、50件に達したという。「深刻度の高い脆弱性でも修正が長期化しているものがある。サイト運営者は脆弱性を攻撃された場合の脅威を認識し、早期に問題を解決することが必要」と呼びかけている。
|
届出件数の推移
|
関連情報
■URL
ソフトウエア等の脆弱性関連情報に関する届出状況(2007年第3四半期)
http://www.ipa.go.jp/security/vuln/report/vuln2007q3.html
■関連記事
・ IPA、2007年第1四半期の脆弱性届出状況を公表(2007/04/19)
( 野津 誠 )
2007/10/22 19:45
- ページの先頭へ-
|