独立行政法人情報処理推進機構 セキュリティセンター(IPA/ISEC)および一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は7月22日、2009年第2四半期(4月〜6月)の脆弱性関連情報の届出状況を公表した。
ソフトウェア製品の脆弱性の処理状況をみると、JPCERT/CCが調整をして製品開発者が脆弱性の修正を完了し、Japan Vulnerability Notes(JVN)で対策情報を公表したものが30件、告示で定める届出の対象に該当せず不受理としたものが8件であった。また、組み込みソフトウェアの脆弱性対策情報については、iPhone OSにおけるサービス運用妨害(DoS)の脆弱性の1件を公表している。
ウェブサイトの脆弱性の処理状況では、IPAが通知をし、ウェブサイト運営者が修正を完了したものが480件、IPAやウェブサイト運営者が脆弱性ではないと判断したものが10件、告示で定める届出の対象に該当せず不受理としたものが5件であった。
この四半期に脆弱性の届出を受理した対象ウェブサイト383件の運営主体の内訳は、企業が224件(58.5%)、地方公共団体が75件(19.5%)、団体(協会・社団法人)が34件(9%)、教育・学術機関が23件(6%)、政府機関が20件(5%)となっている。また、脆弱性の種類は、クロスサイト・スクリプティングが168件(44%)、DNSの設定不備(DNSキャッシュポイズニングの脆弱性)が107件(28%)、SQLインジェクションが48件(12.5%)となっている。
なお、2008年第3四半期から2009年第2四半期までの1年間に、IPAが脆弱性の届出を受理したもののうち、サイト運営者に脆弱性情報を連絡し、対策を依頼したものは2014件あった。このうち、対応未完了のものが58%にのぼるとのこと。IPAでは、「迅速かつ適切な脆弱性修正作業を実施することを強く望みます」とコメントしている。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」