図1 脆弱性届け出件数の推移(IPAの発表情報から引用)
図1 脆弱性届け出件数の推移(IPAの発表情報から引用)
[画像のクリックで拡大表示]
図2 修正が長期化しているサイトの経過日数と脆弱性の種類(IPAの発表情報から引用)
図2 修正が長期化しているサイトの経過日数と脆弱性の種類(IPAの発表情報から引用)
[画像のクリックで拡大表示]

 情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は2008年4月16日、2008年第1四半期(2008年1月から同3月)における、ソフトウエアとWebサイトの脆弱(ぜいじゃく)性に関する届け出状況を公表した。ソフトウエアとWebサイトに関する届け出は、それぞれ53件と244件。脆弱性の報告を受けていながら、90日以上未修正のWebサイトは108件。これらのサイトでは、「SQLインジェクション」や「クロスサイトスクリプティング」などの攻撃を受ける可能性がある。

 IPAとJPCERT/CCは2004年7月以降、経済産業省告示に基づいて、ソフトウエアやWebサイトに関する脆弱性情報をユーザーから受け付け、ソフトウエアの開発者やWebサイトの運営者などに報告し、修正のために必要な調整を行っている。加えて四半期ごとには、届け出状況や取り扱い状況を集計して公表している。

 2008年第1四半期に届け出があった脆弱性情報は計297件。2004年7月からの累計では、ソフトウエアに関する届け出が679件、Webサイトに関するものが1367件で、総計では2000件を超えた(図1)。累計が1000件を超えたのは2006年第4四半期で、届け出制度の開始から2年半かかった。だが、それから1年3カ月で累計で2000件に達したという。

 今までに報告された脆弱性のうち、2008年第1四半期にソフトウエアの開発者やWebサイトの運営者から「修正完了」の報告が寄せられたものは88件。内訳はソフトウエアが21件、Webサイトが67件。2004年7月からの累計では、修正が完了したソフトウエアが275件、Webサイトが815件である。

 IPAから脆弱性の報告を受けながら、90日以上経過しても対策が完了していないWebサイトは累計で108件(図2)。その多くには、SQLインジェクションやクロスサイトスクリプティングに関する脆弱性が存在するという。

 IPAでは、修正完了の報告がないWebサイト管理者に対して、1~2カ月ごとにメールや郵送などで脆弱性対策を促している。また今四半期については、修正が長期化しているサイト運営者に面会するなどして対策を促したという。

 SQLインジェクションにより、Webページを改ざんされたり、顧客情報を盗まれたりする事件が、国内のWebサイトで相次いでいる。このためIPAでは、脆弱性が確認されているサイトの運営者に対して、攻撃を受けた場合の脅威を認識し、早期に対策を施すよう呼びかけている。