独立行政法人情報処理推進機構セキュリティセンター(IPA/ISEC)および有限責任中間法人JPCERTコーディネーションセンター(JPCERT/CC)は4月16日、2008年第1四半期(1月〜3月)における「ソフトウェア等の脆弱性関連情報に関する届出状況」をまとめ、発表した。
2008年第1四半期におけるIPAへの脆弱性関連情報の届出件数は、ソフトウェア製品に関するものが53件、ウェブアプリケーション(ウェブサイト)に関するものが244件の合計297件であった。2004年7月の届出受付開始からの累計は、ソフトウェア製品に関するものが679件であるのに対し、ウェブサイトに関するものが1367件と全体の3分の2を占め、合計は2046件となった。
脆弱性の取扱い状況では、ソフトウェア製品に関して届出が53件あり、取扱い終了が33件のため、取扱中が20件増加して累計274件となった。ウェブサイトに関しては届出が244件あり、取扱い終了が78件のため取扱中が166件増加して累計327件となった。2006年に届出されたもののうち38%、2007年に届出されたもののうち56%がいまだに取扱中のままであり、早急な対策が必要としている。
ソフトウェア製品の脆弱性の処理状況では、JPCERT/CCが調整を担当し、製品開発者が脆弱性の修正を完了し、JVNで対策情報を公表したものは19件であった。製品開発者からの届出のうち、JVNで公表せず製品開発者が個別に対応したものは2件、製品開発者が脆弱性ではないと判断したものは0件、告示で定める届出の対象に該当せず不受理としたものは12件であった。これらの取扱いを終了したものの合計は33件(累計405件)となっている。
ウェブサイトの脆弱性の処理状況は、IPAが通知し、ウェブサイト運営者が修正を完了したものは67件、ウェブサイト運営者が脆弱性ではないと判断したものは9件、ウェブサイト運営者と連絡が不可能なものが0件、告示で定める届出の対象に該当せず不受理としたものは2件であった。これらの取扱いを終了したものの合計は78件(累計1040件)となっている。
今四半期は、特定のウェブブラウザの動作に依存したウェブサイトのクロスサイトスクリプティングの脆弱性の届出が多かった。これは、ウェブサイトが文字コードを指定しない場合におけるウェブブラウザの文字コードの解釈に関するものや、スクリプトに該当する文字列に関するもの。IPAでは、クロスサイトスクリプティング対策をしていても、対策が不十分なウェブサイトが多く見うけられるとしている。
ウェブサイトの脆弱性で90日以上対策が完了していないものは、前四半期から21件減少した。しかし、今四半期で新たに34件が90日以上となったため、13件増加し累計で108件(前四半期は95件)となった。また、300日以上も対策が完了していないものが14件増加し、累計で53件(前四半期は39件)となっている。