Webサイトの脆弱性、IPAから指摘しても6割が対応未完了

　情報処理推進機構（IPA）は22日、2009年第2四半期（4～6月）における脆弱性の届出状況を発表した。届出件数は合計429件で、内訳はソフトウェア製品に関するものが43件、Webサイトに関するものが386件。

　Webサイトに関する届出のうち3件は届出制度の対象外で不受理とし、残る383件をIPAが受理した。内訳は、クロスサイトスクリプティングが168件、DNSキャッシュポイズニングが107件、SQLインジェクションが48件など。これら3種類でWebサイトに関する脆弱性の届出の8％を占めているとしており、Webサイト運営者やDNSサーバー管理者、Webアプリケーションの開発者に対して脆弱性の確認と対策の実施を求めている。

　2008年7月から2009年6月までの1年間にIPAが受理したWebサイトに関する脆弱性の届出のうち、サイト運営者に連絡して対策を依頼したものは2014件に上ったが、6月末現在、修正が完了したものは821件で41％にとどまり、対応未完了のものが1177件で58％を占める。このほか、脆弱性ではないものが16件（1％）あった。IPAでは、連絡を受けたサイト運営者に対して迅速・適切な修正作業を実施するよう強く求めている。

過去1年間のWebサイトに関する脆弱性の届出の処理状況(左）と、サイト運営者主体別の処理状況（右）

　なお、届出制度を開始した2004年7月から5年間で、累計届出件数は5660件に上った。内訳はソフトウェア製品が955件、Webサイトが4705件で、Webサイトに関するものが全体の83％を占めている。2008年第3四半期ごろからDNSキャッシュポイズニングの脆弱性やSQLインジェクションの脆弱性の届出が増加したほか、2008年第4四半期には一時的にクロスサイトスクリプティングの脆弱性の届出が激増したという。

届出件数の四半期ごとの推移と累計件数