脆弱性届出が1就業日あたり2件を突破 - 800日以上修正されないケースも

情報処理推進機構とJPCERTコーディネーションセンターは、2007年第3四半期の脆弱性に関する届け出の状況を取りまとめ、公表した。

7月1日から9月30日までに届けられた脆弱性は152件。ウェブアプリに関するものが103件、ソフトウェアに関するものが49件となり、ウェブアプリに対する届け出がソフトウェアを上回る傾向が続いている。また1就業日あたりの届け出数は2.03件で、2件を突破したのは調査開始以来はじめて。

ウェブサイトの脆弱性について修正されたケースは26件で、サイト運営者が脆弱性ではないと判断したものは24件あった。2004年7月以来の累計としては、届け出が行われた脆弱性は1043件となり今四半期に1000件を突破した。約2割は現在も対応が進められている状態で、ウェブサイト運営者へ連絡が取れないケースが7件あった。

脆弱性への対応が必要とされるケースの場合、79％については通知から90日以内に修正を完了している。しかし、修正にされないケースも目立っており、300日以上も対策が完了していないものが50件。そのうち20件は600日を超えている。それらにはクロスサイトスクリプティングやSQLインジェクションなど深刻な脆弱性が長期間にわたり放置されているケースがあるという。

ソフトウェアについては、修正などが完了し、公表したケースが18件で、個別に対応したケースも2件あった。JPCERT/CCは、脆弱性発生時にスムーズな対応が行えるよう、ソフトウェア開発者の登録を行っており、9月末時点で207社となった。同センターでは、引き続きリストへの登録を呼びかけている。

情報処理推進機構
http://www.ipa.go.jp/

JPCERTコーディネーションセンター
http://www.jpcert.or.jp/

（Security NEXT - 2007/10/23 ） ツイート

PR

関連記事

5月下旬以降、「PeopleSoft」にゼロデイ攻撃 - 対策と侵害有無の調査を
Oracle「PeopleSoft」に深刻なRCE脆弱性 - ただちに対応を
「Ivanti Sentry」脆弱性の悪用確認 - PoC公開でリスク増
「Chrome」に今週2度目のセキュ更新 - 脆弱性28件を修正
サイトが改ざん被害、外部へ誘導 - アイサンテクノロジー
防災士向け研修会の案内メールで送信ミス - 本巣市
出張先の移動中にPCを置き忘れて紛失 - 高知工科大
「Interop Tokyo 2026」が開催中 - 「AI」関連ソリューションも充実
「Splunk Enterprise」にアップデート - 「クリティカル」脆弱性など解消
「Arista EOS」ゼロデイ含む脆弱性3件を悪用リストに追加 - 米当局