脆弱性のあるサイトの58%が対応未完了--IPAが苦言

 独立行政法人情報処理推進機構 セキュリティセンター(IPA/ISEC)および一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は7月22日、2009年第2四半期(4月〜6月)の脆弱性関連情報の届出状況を公表した。

 ソフトウェア製品の脆弱性の処理状況をみると、JPCERT/CCが調整をして製品開発者が脆弱性の修正を完了し、Japan Vulnerability Notes(JVN)で対策情報を公表したものが30件、告示で定める届出の対象に該当せず不受理としたものが8件であった。また、組み込みソフトウェアの脆弱性対策情報については、iPhone OSにおけるサービス運用妨害(DoS)の脆弱性の1件を公表している。

 ウェブサイトの脆弱性の処理状況では、IPAが通知をし、ウェブサイト運営者が修正を完了したものが480件、IPAやウェブサイト運営者が脆弱性ではないと判断したものが10件、告示で定める届出の対象に該当せず不受理としたものが5件であった。

 この四半期に脆弱性の届出を受理した対象ウェブサイト383件の運営主体の内訳は、企業が224件(58.5%)、地方公共団体が75件(19.5%)、団体(協会・社団法人)が34件(9%)、教育・学術機関が23件(6%)、政府機関が20件(5%)となっている。また、脆弱性の種類は、クロスサイト・スクリプティングが168件(44%)、DNSの設定不備(DNSキャッシュポイズニングの脆弱性)が107件(28%)、SQLインジェクションが48件(12.5%)となっている。

 なお、2008年第3四半期から2009年第2四半期までの1年間に、IPAが脆弱性の届出を受理したもののうち、サイト運営者に脆弱性情報を連絡し、対策を依頼したものは2014件あった。このうち、対応未完了のものが58%にのぼるとのこと。IPAでは、「迅速かつ適切な脆弱性修正作業を実施することを強く望みます」とコメントしている。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]