IPAとJPCERT/CC、ファイルの誤った公開増加、06年第1四半期脆弱性届出状況

ニュース

2006/04/21 10:22



 情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は4月20日、06年第1四半期(1月-3月)の脆弱性関連情報の届出状況をまとめ、発表した。

 06年第1四半期に届け出のあったソフトウェアの脆弱性情報は34件、ウェブアプリケーションの脆弱性情報は72件だった。2つをあわせた就業日1日当たりの届出件数は1.60件となり、05年第4四半期より0.2ポイント増加した。

 公表されたソフトウェアの脆弱性は7件、このほか、製品開発者自身から脆弱性と対策情報の連絡を受けたものが1件あった。また、ウェブアプリケーションの脆弱性では、55件が今期中に処理が終了し、うち32件で修正完了した。

 この四半期の特徴として、ウェブアプリケーションの脆弱性において、「ファイルの誤った公開」の届出件数が増加した。複数のWebサイトで同じショッピングカートを使用しており、アクセス権限の設定ミスにより、顧客情報が含まれたファイルを誤って公開してしまい、誰でも自由に閲覧できる状態になっていたという届出があったためだ。

 ウェブアプリケーションの脆弱性の修正状況についてもまとめており、届出の受付開始から06年3月末までの届出について、Webサイト運営者に脆弱性の詳細情報を通知してから修正されるまでに要した日数は、31日-50日がもっとも多かった。また全体の81%で、サイト運営者への通知から90日以内に修正されている。

 IPAとJPCERT/CCでは、脆弱性の修正を促進していくため、Webサイト運営者とシステム構築事業者に向けて、ショッピングカートやメール送信フォームなど、他人が作成したソフトを利用する際は、そのソフトの安全性を確認して欲しいと呼びかけている。また、一般のユーザーに対しても、パッチの適用など自発的なセキュリティ対策が必要と指摘している。