脆弱性届出が1就業日あたり2件を突破 - 800日以上修正されないケースも

情報処理推進機構とJPCERTコーディネーションセンターは、2007年第3四半期の脆弱性に関する届け出の状況を取りまとめ、公表した。

7月1日から9月30日までに届けられた脆弱性は152件。ウェブアプリに関するものが103件、ソフトウェアに関するものが49件となり、ウェブアプリに対する届け出がソフトウェアを上回る傾向が続いている。また1就業日あたりの届け出数は2.03件で、2件を突破したのは調査開始以来はじめて。

ウェブサイトの脆弱性について修正されたケースは26件で、サイト運営者が脆弱性ではないと判断したものは24件あった。2004年7月以来の累計としては、届け出が行われた脆弱性は1043件となり今四半期に1000件を突破した。約2割は現在も対応が進められている状態で、ウェブサイト運営者へ連絡が取れないケースが7件あった。

脆弱性への対応が必要とされるケースの場合、79％については通知から90日以内に修正を完了している。しかし、修正にされないケースも目立っており、300日以上も対策が完了していないものが50件。そのうち20件は600日を超えている。それらにはクロスサイトスクリプティングやSQLインジェクションなど深刻な脆弱性が長期間にわたり放置されているケースがあるという。

ソフトウェアについては、修正などが完了し、公表したケースが18件で、個別に対応したケースも2件あった。JPCERT/CCは、脆弱性発生時にスムーズな対応が行えるよう、ソフトウェア開発者の登録を行っており、9月末時点で207社となった。同センターでは、引き続きリストへの登録を呼びかけている。

情報処理推進機構
http://www.ipa.go.jp/

JPCERTコーディネーションセンター
http://www.jpcert.or.jp/

（Security NEXT - 2007/10/23 ） ツイート

PR

関連記事

一部工事注文書控が所在不明、誤廃棄の可能性 - カンセキ
法人会員情報が流出、脆弱性の点検過程から発覚 - 関西エアポート
セイコーエプソン製プリンタドライバに脆弱性 - 日本語以外の環境に影響
DDoS攻撃が件数減、一方100Gbps超の攻撃も - IIJレポート
Google、ブラウザ最新版「Chrome 136」を公開 - 8件のセキュリティ修正
米当局、悪用が確認された脆弱性4件について注意喚起
海外子会社がランサム被害、影響など詳細を調査 - 淀川製鋼所
システム障害、調査でランサムウェアが原因と判明 - 近鉄エクスプレス
パッチや緩和策の適用、メモリ保護を統合した脆弱性対策製品
従業員がサポート詐欺被害、個人情報流出か - 住友林業クレスト