Tweet

脆弱性報告のうち3分の2はWeb関係

300日以上脆弱性が修正されないWebアプリが累計50件、IPA

2007/10/22

　独立行政法人 情報処理推進機構（IPA）と有限責任中間法人 JPCERTコーディネーションセンター（JPCERT/CC）は10月22日、今年第3四半期（7-9月）のソフトウェアとWebサイト（Webアプリケーション）の脆弱性情報の届け出状況をまとめた。152件の届け出のうち、3分の2がWebアプリケーションに関する報告だった。

　ソフトウェアに関する脆弱性の報告は49件、Webアプリについては103件だった。届け出件数は2004年7月の受付開始から伸び続けていて、営業日当たりの平均は今第3四半期に2.03件となった。累計の届け出件数は1603件。ソフトウェアが560件で、Webアプリは1043件。

　今第3四半期中に処理を終えたソフトウェアの脆弱性は20件。修正が完了して「Japan Vulnerability Notes」（JVN）が対応情報を公開した件数は18件、開発者が個別対応したのは2件だった。

未修正のWebサイト（IPA資料から）

　Webアプリに関しては今第3四半期に処理を完了したのは53件。修正が終わったのは26件で、脆弱性ではないと確認できたのは24件。受理しなかったのは3件だった。脆弱性の報告があり、IPAが開発者に対策を求めても、300日以上対策が行われていない件数は、これまでの累計で50件に達した。IPAは「クロスサイト・スクリプティングやSQLインジェクションのように、深刻度の高い脆弱性でも修正が長期化しているものがある。ウェブサイト運営者は脆弱性を攻撃された場合の脅威を認識し、早期に問題を解決することが必要」としている。

（＠IT　垣内郁栄）

情報をお寄せください：

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）