「制度の周知が今後の課題」--ソフトウェアの脆弱性届出制度の現状

　情報処理推進機構（IPA）とJPCERTコーディネーションセンター（JPCERT／CC）は10月18日、ソフトウェアの脆弱性関連情報の届出について、7月から9月までの状況を公表した。

　IPAとJPCERT／CCは今年7月より、ソフトウェアやウェブアプリケーションの脆弱性を発見した利用者から連絡を受け、ベンダーと協議して脆弱性を悪用される前に対策を講じる取り組みを進めている。IPAは情報収集を、JPCERT／CCはベンダーとの調整などを担当している。

IPAセキュリティセンターの早貸淳子氏

　7月8日から9月3日までにIPAに届けられた脆弱性情報は総計92件。そのうちソフトウェア製品に関するものが19件、ウェブアプリケーションに関するものが73件だった。

　ソフトウェア製品については、製品開発者によって脆弱性ではないと判断されたものが1件、製品の仕様や公知の情報で取り扱い対象外としたものが3件、取り扱い中のものが12件、対策を終えて公表されたものが3件となっている。

　対策が完了したものとしては、トレンドマイクロのウイルスバスター コーポレートエディションにおける脆弱性のほか、ネオジャパンのグループウェア「desknet’s」においてスクリプトが実行され個人情報等の漏えいにつながるものや、SSL-VPN製品でSSLのクライアント認証を使わずにユーザー名とパスワードでログインするようにした場合にCookie情報が漏えいしてセッションハイジャックされる可能性のものがあった。

　また、東芝のHDD／DVDビデオレコーダが外部ネットワークと接続している場合にオープンプロキシサーバとして利用され、コメントスパムの踏み台として利用されるという脆弱性があり、これは10月に対策が完了している。

　ウェブアプリケーションの脆弱性については、修正済みが10件、脆弱性を運用で回避するものが4件、ウェブサイト運営者によって脆弱性ではないと判断されたものが5件、すでに修正済みのものや海外サイトなどで取り扱い対象外としたものが4件、取り扱い中のものが34件となっている。

　残りの16件についてはウェブ運営者と連絡が取れず、取り扱いができない状態になっているという。IPAセキュリティセンターの早貸淳子氏は「フィッシングや電話詐欺などが広がっているため、ソフトウェアの脆弱性関連情報の届け出スキームを知らない人は、IPAからの連絡だと言っても警戒するようだ。電話で話していても、話の途中で電話が切られることがあった」と話し、同スキームの認知度をいかに高めるかが今後の課題だと話す。

　IPAでは、脆弱性を見つけたウェブサイトに対し、サイト上に記載されている窓口に電子メールまたは電話で連絡を行っている。早貸氏は「本当にIPAからの連絡かどうかを確認したい場合には、メール（vuln-ing@ipa.go.jp）もしくは電話（03-5978-7527）でIPAに連絡してほしい」と呼びかけた。また、製品開発者に対しては必要な脆弱性情報などが速やかに届けられるよう、JPCERT／CCが整備している製品開発者リストに登録してほしいとしている。