脆弱性届出が1就業日あたり2件を突破 - 800日以上修正されないケースも

情報処理推進機構とJPCERTコーディネーションセンターは、2007年第3四半期の脆弱性に関する届け出の状況を取りまとめ、公表した。

7月1日から9月30日までに届けられた脆弱性は152件。ウェブアプリに関するものが103件、ソフトウェアに関するものが49件となり、ウェブアプリに対する届け出がソフトウェアを上回る傾向が続いている。また1就業日あたりの届け出数は2.03件で、2件を突破したのは調査開始以来はじめて。

ウェブサイトの脆弱性について修正されたケースは26件で、サイト運営者が脆弱性ではないと判断したものは24件あった。2004年7月以来の累計としては、届け出が行われた脆弱性は1043件となり今四半期に1000件を突破した。約2割は現在も対応が進められている状態で、ウェブサイト運営者へ連絡が取れないケースが7件あった。

脆弱性への対応が必要とされるケースの場合、79％については通知から90日以内に修正を完了している。しかし、修正にされないケースも目立っており、300日以上も対策が完了していないものが50件。そのうち20件は600日を超えている。それらにはクロスサイトスクリプティングやSQLインジェクションなど深刻な脆弱性が長期間にわたり放置されているケースがあるという。

ソフトウェアについては、修正などが完了し、公表したケースが18件で、個別に対応したケースも2件あった。JPCERT/CCは、脆弱性発生時にスムーズな対応が行えるよう、ソフトウェア開発者の登録を行っており、9月末時点で207社となった。同センターでは、引き続きリストへの登録を呼びかけている。

情報処理推進機構
http://www.ipa.go.jp/

JPCERTコーディネーションセンター
http://www.jpcert.or.jp/

（Security NEXT - 2007/10/23 ） ツイート

PR

関連記事

日本サイバー犯罪対策センター、ウィンブレ実写映画とコラボ
SAP、月例アドバイザリ20件を公開 - 複数「クリティカル」も
都立病院の患者情報流出 - 「USB拾得」との匿名文書が複数届く
会報誌データのメール送信時に誤送信 - 群馬県立点字図書館
「Dell Data Lakehouse」が脆弱性145件を修正 - 深刻な脆弱性も
「ManageEngine Analytics Plus」にSQLi脆弱性 - 8月の更新で修正済み
マルウェア対策製品「Avast」「AVG」に深刻な脆弱性
Synology製NAS「BeeStation」に深刻な脆弱性 - 修正版が公開
米当局、「WatchGuard Firebox」など脆弱性3件の悪用に注意喚起
国勢調査の回答状況確認表が所在不明 - 石垣市