2005年7月20日(水曜日)
2005年Q2
- ソフトウエア等の脆弱性関連情報に関する届出状況 [2005年第2四半期(4月~6月)] (www.ipa.go.jp)
- SQLインジェクション・XSS・DNS……脆弱性届出、第2四半期は84件 (pcweb.mycom.co.jp)
- スタートから1年、脆弱性情報届出は1日1.4件ペース (www.itmedia.co.jp)
今期は「ppblogにおけるクロスサイトスクリプティングの脆弱性」「Movable Typeにおけるセッション管理の脆弱性」などとWeb系作成ツールの脆弱性の公表も多い。「全体の傾向として、環境や技術などを必要とするソフトウェアの脆弱性はやはり届けられにくい傾向にある」と、情報セキュリティ技術ラボラトリー長の福澤淳二氏。IPAでは、これらは1サイトの修正で脆弱性が解消されないため、ソフトウェア製品に関する脆弱性に分類している。
ウェブアプリケーションの脆弱性として届け出られたものがソフトウェアの脆弱性だった場合、別途ソフトウェアの脆弱性として届出し直すことを求められます。追加の届出をすると、それには別の ID がつけられて処理されます。そして、元の届出は元の届出、追加の届出は追加の届出で、別々に終了通知が来ます。なので、このようなケースは「ソフトウェア製品に関する脆弱性に分類」されているのではなくて、両方で処理され、両方でカウントされているのではないかと思いますが……。
2005年第2四半期の傾向として、クロスサイトスクリプティングの届出が減り、その分SQLインジェクションが増えている。
(~中略~)
「SQLインジェクションによる事件がこの期に多く報道されたことや、比較的見つけやすいクロスサイトスクリプティングは初期の段階で既に多く届けられたためだろう」と福澤氏は分析する。
あうあう、すみません、XSS の届出が減った真の理由はたぶんこんな感じです。
- 3月末~ : 判決が出て、法的な面を再検討する必要に迫られて届出を控えていた
- 4月頭~ : 自宅サーバ導入で忙しかった
- 5月いっぱい : ロマサガ (www.amazon.co.jp)
にはまっていて忙しかった (ぉぃ
- 6月中~ : ドラッグオンドラグーン2 (www.amazon.co.jp)
にはまっていた (ぉぃぉぃ
……うわー、前半はともかく後半はホント駄目人間だ……。
幸いにして「情報システム等の脆弱性情報の取扱いに関する研究会 ~運用実績を踏まえた問題点整理と今後の取組み~ (www.ipa.go.jp)」の PDF 文書の中に以下のようなくだりがあります。
3.2.3 運用に際しての法的問題
情報セキュリティ早期警戒パートナーシップの運用を通じて得た知見を踏まえ、新たな法的問題について、発見者、製品開発者、ウェブサイト運営者の観点からそれぞれ検討した。その結果、半年以上の運用を経た段階では、運用上問題となる新たな法的論点は指摘されなかった。ただし、制度の円滑な運用を維持するため、こうした観点について、今後も引き続き検討することが必要と考えられる。
ここから「少なくとも IPA は今までの届出に法的な問題があったとは考えていない」「今までの届出を続けても法的な問題はないと考えて良い」と理解して、法的な面はクリアしたことにします。
ということで来期はがんばりますので許してください。
- 「2005年Q2」へのコメント (1件)
関連する話題: セキュリティ / IPA / JPCERT/CC / 情報セキュリティ早期警戒パートナーシップ / SQLインジェクション
- 前(古い): 2005年7月19日(Tuesday)のえび日記
- 次(新しい): 2005年7月21日(Thursday)のえび日記
