ウェブサイト脆弱性、300日以上対策未完了が50件に--IPA調べ

　独立行政法人情報処理推進機構（IPA）と有限責任中間法人JPCERTコーディネーションセンター（JPCERT/CC）は10月22日、2007年第3四半期（7月〜9月）の脆弱性関連情報の届け出状況を発表した。件数は、ソフトウェア製品に関するものが49件、ウェブサイト（ウェブアプリケーション）に関するものが103件で、合計152件であった。

　就業日1日当たりの届け出件数は着実に増加しており、この四半期で就業日1日当たり2.03件と、2件を突破した。また、ウェブサイトに関するものが103件と過去最高を記録し、累計で1000件を突破。これは、脆弱性関連情報の届け出制度が浸透してきているためとしている。

　ソフトウェア製品の脆弱性の修正が完了し、JVNで対策情報を公表したものは18件（届け出受付開始からの累計では211件）、製品開発者からの届け出のうち製品開発者が個別対応を行ったもの2件（累計12件）、製品開発者が脆弱性ではないと判断したものは0件（累計29件）、告示で定める届け出の対象に該当せず、不受理としたものは0件（累計74件）であった。これらの取り扱いを終了したものの合計は20件（累計326件）となっている。

　また、脆弱性対策情報データベース「JVN iPedia」は、4月25日から約3600件の登録情報で提供を開始したが、公開後も就業日1日当たり平均約5件の情報を登録し、9月末時点で登録件数が4116件となった。就業日1日当たり2000件を超えるアクセスがあるという。

　ウェブサイトの脆弱性の修正が完了したものは26件（届け出受付開始からの累計655件）、ウェブサイト運営者が脆弱性ではないと判断したものは24件（累計111件）、ウェブサイト運営者と連絡が不可能なものが0件（累計7件）、告示で定める届け出の対象に該当せず、不受理としたものは3件（累計72件）であった。これらの取り扱いを終了したものの合計は53件（累計845件）となっている。

　ウェブサイトの脆弱性の届け出件数は、受付を開始した2004年7月からの累計が1000件を突破した。このうち655件が修正を完了しており、その79％が、ウェブサイト運営者に脆弱性の詳細情報を通知してから90日以内に脆弱性の修正を完了している。一方で、脆弱性対策を促しているにもかかわらず、300日以上も対策が完了していないものが50件に達している。