2008年第3四半期は、ソフトウェア製品に関しては37件の取扱いが終了^(*2)しましたが、届出が55件あったため、取扱い中は18件増加して累計337件となりました。ウェブサイトに関しては161件の取扱いが終了^(*3)しましたが、届出が509件あったため、取扱い中が348件増加して累計698件となりました。

　図2は、ソフトウェア製品に関して各四半期に届出のあったものの現在の取扱い状況です。例えば、2006年第3四半期に届出のあったものは、23件の取扱いを終了しましたが16件は取扱い中です。また、2007年第3四半期に届出のあったものは、26件の取扱いを終了しましたが23件は取扱い中です。

　このように、ソフトウェア製品に関しては、2006年に届出られたものでも、今だ36%が取扱い中のままです。2007年に届出られたものは、47%が取扱い中のままです。ソフトウェア製品開発者は、脆弱性を攻撃された場合の顧客システムへの影響の重大さを認識し、早期に対策を講じる必要があります。

　ウェブサイトに関しては2007年に届出られたものの20%が取扱い中のままです（図3）。ウェブサイト運営者は、脆弱性を攻撃された場合の重大さを認識し、早期に対策を講じる必要があります。

　2008年第3四半期のソフトウェア製品の脆弱性の処理状況は、JPCERT/CCが調整を行い、製品開発者が脆弱性の修正を完了し、JVN^(*4)で対策情報を公表したものは25件でした。
　 製品開発者からの届出のうちJVNで公表せず製品開発者が個別対応を行ったものは0件、製品開発者が脆弱性ではないと判断したものは0件、告示で定める届出の対象に該当せず不受理としたものは12件でした。
　 これらの取扱いを終了したものの合計は37件（累計465件）です（表2）。

表2．ソフトウェア製品の脆弱性の終了件数

分類	分類	件数	累計件数
修正完了	公表済み	25 件	299 件
	個別対応	0 件	16 件
脆弱性ではない		0 件	34 件
不受理		12 件	116 件
計		37 件	465 件

　 この他、海外のCSIRT^(*5)からJPCERT/CCが連絡を受けた18件（累計374件）をJVNで公表しました。これらの、公表済み件数の期別推移を図4に示します。

　なお、2008年第3四半期において、JVNで対策情報を公表した主なものは、以下のとおりです。

(1)「ウイルスセキュリティ」および「ウイルスセキュリティZERO」における脆弱性^(*6)

　ソースネクスト株式会社が提供するウイルス対策ソフトの「ウイルスセキュリティ」および「ウイルスセキュリティZERO」のファイルのスキャン処理において圧縮ファイルの取扱いに問題があり、サービス運用妨害(DoS^(*7))状態となる脆弱性が存在しました。
　この弱点が悪用されると、「ウイルスセキュリティ」および「ウイルスセキュリティZERO」のスキャン処理が停止し、以降ウイルスが検知できなくなってしまうため、ウイルスに感染しやすくなる可能性があり、8月12日にJVNで対策情報を公表しました。

(2) 複数のパナソニック コミュニケーションズ株式会社製ネットワークカメラにおけるクロスサイト・スクリプティングの脆弱性^(*8)

　複数のパナソニック コミュニケーションズ株式会社製「ネットワークカメラ」には、クロスサイト・スクリプティングの問題がありました。このため、第三者によりウェブページにスクリプトを埋め込まれる可能性があり、7月31日にJVNで対策情報を公表しました。

　組込みソフトウェアの脆弱性は、この他に「複数のセンチュリー・システムズ株式会社製ルータにおけるクロスサイト・リクエスト・フォージェリの脆弱性」^(*9)、「iPod touch および iPhone に搭載されているSafariにおいて証明書が不正に受け入れられる脆弱性」^(*10)の脆弱性対策情報を公表しました。

　2008年第3四半期のウェブサイトの脆弱性の処理状況は、IPAが通知を行い、ウェブサイト運営者が修正を完了したものは155件、ウェブサイト運営者が脆弱性ではないと判断したものは5件、ウェブサイト運営者と連絡が不可能なものが0件、告示で定める届出の対象に該当せず不受理としたものは1件でした。
　 これらの取扱いを終了したものの合計は161件（累計1,386件）です（表3）。

表3．ウェブサイトの脆弱性の終了件数

分類	件数	累計件数
修正完了	155 件	1133 件
脆弱性ではない	5 件	162 件
連絡不可能	0 件	7 件
不受理	1 件	84 件
計	161 件	1,386 件

　 これらのうち、修正完了件数の期別推移を図5に示します。

　今四半期に脆弱性の届出のあった対象ウェブサイトの運営主体別内訳は、企業合計が53%、政府機関が6％、地方公共団体が34％、団体（協会・社団法人）が3％、個人が3％などとなっています（図6）。

　また、今四半期に届出のあったウェブサイトの脆弱性の種類の内訳は、DNS(Domain Name System)^(*11)情報の設定不備が56%、クロスサイト・スクリプティングが18%、SQLインジェクションが14%、ディレクトリ・トラバーサルが7%、セッション管理の不備が1%などとなっています（図7）。

　広く知れ渡っている脆弱性が数多く届出られており、ウェブサイト開発者は既知の脆弱性を認識し、ウェブサイトの企画・設計段階からのセキュリティの考慮が必要です。

　DNSキャッシュポイズニングは、DNSキャッシュサーバ^(*16)に偽の情報(毒)を混入させる攻撃手法です。DNSキャッシュサーバは一般に、ネットワーク管理者がその組織内の構成員に提供するものです。このため、DNSキャッシュポイズニングの影響は、通常、当該組織内に限定されます。

　また、一般的にウェブサイト運営者が外部の利用者へ提供するのは、DNSコンテンツサーバであり、DNSキャッシュサーバは提供しません。このため通常、ウェブサイトはDNSキャッシュポイズニングの影響を受けることはありません。

　しかし、DNSキャッシュサーバがDNSコンテンツサーバを兼ねている構成のウェブサイトは少なくありません。このような構成でDNSの脆弱性の問題がある場合、ウェブサイト自体や第三者への脅威が発生する可能性があります。IPAはこれをウェブサイトの脆弱性として受け付けています。

　脆弱性への対策を怠り悪用された場合、サイト運営組織内の利用者が、正しいウェブサイトの宛先を指定したにもかかわらず、知らぬ間に悪意のあるサイトに誘導され、金銭被害や個人情報漏えいの被害を受けてしまう可能性があります。結果として、サイト運営者は組織としての社会的な信頼の失墜や、経済的損失を被ることにもなりかねません。

　脆弱性が届出られたウェブサイトの運営者は、政府機関、地方公共団体、民間企業など広範囲に渡っています。個人情報を扱っているような社会的影響の大きいウェブサイトのDNSサーバについても多数の届出があり、各サイトの運営者は早急な調査と対策実施が必要です。

　IPAは、ウェブサイト運営者から脆弱性対策の返信がない場合、脆弱性が攻撃された場合の脅威を丁寧に解説するなど、1〜2カ月毎にメールや郵送手段などで脆弱性対策を促しています。また、今四半期は、特に修正が長期化しているウェブサイト運営者に面会するなど、更に脆弱性対策を促しました。

　この結果、図9に示すように、ウェブサイトの脆弱性で90日以上も対策が完了していないものは、前四半期から28件減少しました。しかし、今四半期で新たに71件が90日以上となったため、43件増加し累計で179件（前四半期は136件）となりました。また、300日以上も対策が完了していないものが10件増加し累計で76件（前四半期は66件）となりました。

　ウェブサイトの情報が盗まれてしまう可能性のあるSQLインジェクションのように、深刻度の高い脆弱性でも修正が長期化しているものがあります。ウェブサイト運営者は脆弱性を攻撃された場合の脅威を認識し、早期に対策を講じる必要があります。

(*1)ソフトウェア等の脆弱性関連情報に関する届出制度：経済産業省告示に基づき、2004年7月より開始しました。IPAは届出受付・分析、JPCERT/CCは国内の製品開発者などの関連組織との調整を行っています。

(*2)ソフトウェア製品開発者が修正完了したもの、脆弱性ではないと判断したもの、不受理のもの。

(*3)ウェブサイト運営者が修正完了したもの、脆弱性ではないと判断したもの、連絡不可能なもの、不受理のもの。

(*4)Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。国内で利用されている製品の脆弱性対策情報を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/

(*5)Computer Security Incident Response Team。コンピュータセキュリティインシデント対応チーム。コンピュータセキュリティに関するインシデント（事故）への対応・調整・サポートをする組織です。

(*6)本脆弱性の深刻度=レベルII（警告）、CVSS基本値=4.3、別紙のP.5表1-2項番10を参照下さい。

(*7）Denial of Service。サービス不能状態。

(*8)本脆弱性の深刻度=レベルII（警告）、CVSS基本値=4.3、別紙のP.5表1-2項番9を参照下さい。

(*9)本脆弱性の深刻度=レベルII（警告）、CVSS基本値=4.0、別紙のP.4表1-2項番5を参照下さい。

(*10)本脆弱性の深刻度=レベルI（注意）、CVSS基本値=2.6、別紙のP.6表1-2項番21を参照下さい。

(*11）コンピュータがネットワークのどこに接続されているかを示すIPアドレスという数字の集まりを、www.ipa.go.jp のような人に覚えやすいドメイン表記と対応させるための情報を管理する仕組みです。

(*12）脆弱性対策情報データベースJVN iPedia「複数のDNS実装にキャッシュポイズニングの脆弱性」を参照。
http://jvndb.jvn.jp/ja/contents/2008/JVNDB-2008-001495.html

(*13)複数のDNSサーバ製品におけるキャッシュポイズニングの脆弱性。
http://www.jpcert.or.jp/at/2008/at080013.txt

(*14)複数のDNS製品の脆弱性について。
http://www.ipa.go.jp/security/ciadr/vul/20080724-dns.html

(*15)DNSキャッシュポイズニングの脆弱性に関する注意喚起。
http://www.ipa.go.jp/security/vuln/documents/2008/200809_DNS.html

(*16）DNSサーバには、自分の管理しているドメインのみに関する情報を返す「DNSコンテンツサーバ」と、ユーザ等が利用するクライアントプログラムからの要求に応じて、ドメイン名からIPアドレスを、あるいは、IPアドレスからドメイン名を回答する「DNSキャッシュサーバ」があります。

独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC) 山岸／渡辺

Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail:

有限責任中間法人 JPCERTコーディネーションセンター 古田

Tel: 03-3518-4600 Fax: 03-3518-4602
E-mail: