脆弱性のあるサイトの58％が対応未完了--IPAが苦言

　独立行政法人情報処理推進機構 セキュリティセンター（IPA/ISEC）および一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）は7月22日、2009年第2四半期（4月〜6月）の脆弱性関連情報の届出状況を公表した。

　ソフトウェア製品の脆弱性の処理状況をみると、JPCERT/CCが調整をして製品開発者が脆弱性の修正を完了し、Japan Vulnerability Notes（JVN）で対策情報を公表したものが30件、告示で定める届出の対象に該当せず不受理としたものが8件であった。また、組み込みソフトウェアの脆弱性対策情報については、iPhone OSにおけるサービス運用妨害（DoS）の脆弱性の1件を公表している。

　ウェブサイトの脆弱性の処理状況では、IPAが通知をし、ウェブサイト運営者が修正を完了したものが480件、IPAやウェブサイト運営者が脆弱性ではないと判断したものが10件、告示で定める届出の対象に該当せず不受理としたものが5件であった。

　この四半期に脆弱性の届出を受理した対象ウェブサイト383件の運営主体の内訳は、企業が224件（58.5％）、地方公共団体が75件（19.5％）、団体（協会・社団法人）が34件（9％）、教育・学術機関が23件（6％）、政府機関が20件（5％）となっている。また、脆弱性の種類は、クロスサイト・スクリプティングが168件（44％）、DNSの設定不備（DNSキャッシュポイズニングの脆弱性）が107件（28％）、SQLインジェクションが48件（12.5％）となっている。

　なお、2008年第3四半期から2009年第2四半期までの1年間に、IPAが脆弱性の届出を受理したもののうち、サイト運営者に脆弱性情報を連絡し、対策を依頼したものは2014件あった。このうち、対応未完了のものが58％にのぼるとのこと。IPAでは、「迅速かつ適切な脆弱性修正作業を実施することを強く望みます」とコメントしている。