Enterprise Watch
最新ニュース

IPAとJPCERT、ソフトの脆弱性に関する届出状況を発表


IPA 技術担当理事 窪田明氏
 独立行政法人 情報処理推進機構(以下、IPA)とJPCERTコーディネーションセンター(以下、JPCERT)は1月25日、2004年第4四半期(10月~12月)のソフトウェアなどの脆弱性関連情報に関する届出状況を発表した。

 IPAとJPCERTでは、ソフトウェアやWebアプリケーション(一般に公開されているWebサイトで動作するものを含む)における脆弱性の届出窓口を開設している。届出のあった情報から脆弱性に関するものかどうかを取扱基準やガイドラインに基づいて判別し、該当するものを開発者やサイト運営者に報告して修正を求めるとともに調整を行う。そして、対策が完了したものを改善策とともに、Webサイトにて公表する仕組みだ。IPA 技術担当理事の窪田明氏は「開発者に直接連絡されると不審に思われるなど対策が行われない恐れがある」とし、また匿名掲示板に掲載すると悪用される恐れがあることから、自ら公表することなく届出制度を利用するよう呼びかけている。

 今回の発表によると、第4四半期の届出数は合計80件で、2004年7月の受付開始より累計で172件となった。うちソフトウェア製品に関するものが13件で累計32件、Webアプリケーションに関するものが67件で累計140件であった。

 このうちソフトウェア製品についての届出は、対策が完了したものや発見者のコンピュータ環境に依存する問題など、脆弱性ではないとされたものを含めて43%の取扱いを終了、残りは解決への取り組みがされている最中だという。また、これとは別に海外CSIRT(Computer Security Incident Response Team)からの報告が15件あり、対策とともに情報を公表したという。

 公表された脆弱性をみると、Webブラウザが最も件数が多いが、複数の電子メールクライアントソフトにおいてメール送信者の認証や暗号化、改ざん防止などのセキュリティ機能により、なりすましなどを防止する「S/MIME 署名検証」における脆弱性が発見されたのが目立った。また、グループウェアや検索システムに悪意のあるコードを入力することでCookie情報を詐取するものや、HDD&DVDレコーダーが不正アクセスの踏み台にされるものもあった。


ソフトウェア製品の届出、取り扱い状況 届出のあった脆弱性の種類別内訳

 なお、マイクロソフトから定期的に発表されるWindowsの脆弱性など、一般に認知されているものと件数や内容の比率が異なるが、「IPAやJPCERTに報告するユーザーの環境や判断に委ねられるので、全体で発見される脆弱性と必ずしも一致するものではない」(IPA セキュリティセンター長 早貸淳子氏)という。

 一方、Webアプリケーションについての届出は、修正や当該ページの削除などにより対策が完了したものが42%となっており、残りは修正の最中のほか、担当者と連絡が取れない状態となっているものも多数あるという。

 脆弱性の内訳では、フィッシング詐欺に悪用される可能性のある「クロスサイト・スクリプティング」が半数以上を占めており、個人情報流出の危険性があるサイトが増加していることがわかる。クロスサイト・スクリプティングとは、Webページを動的に生成する仕組みであるページで起こる可能性のある問題で、別のサイトに書かれているスクリプトが実行されることにより、Cookie情報を別のWebサイトへ送信されるなどの恐れがある。


Webアプリケーションの届出と取扱い状況 届出のあった脆弱性の脅威別内訳

 早貸氏は「Webアプリケーションの脆弱性を修正するのはもちろんだが、正規のサイトである証明書のマークがわかりにくい場所にあったり、誰が管理をしているかわかりずらいなど、デザインに問題のあるサイトも見受けられる」と述べ、JPCERTでは今後、これらの問題に対してマスコミなどを利用し広く注意を呼びかけていく考えを示した。

 またIPAでも脆弱性などに関する情報について、Webサイトにて公表するだけでなくメールマガジンなどを利用したプッシュ型の配信や、理解されやすい形で情報提供するなど、広報活動を強化していく方針だ。



URL
  独立行政法人 情報処理推進機構
  http://www.ipa.go.jp/
  JPCERTコーディネーションセンター
  http://www.jpcert.or.jp/
  プレスリリース
  http://www.ipa.go.jp/security/vuln/report/vuln2004q4.html

関連記事
  ・ ソフトウェア/Webサイトの脆弱性届出制度が運用開始(2004/07/08)
  ・ IPA、脆弱性情報取り扱いに関する体制の提言を発表(2004/04/06)


( 朝夷 剛士 )
2005/01/25 18:42

Enterprise Watch ホームページ
Copyright (c) 2005 Impress Corporation, an Impress Group company. All rights reserved.