2009年10月20日(火曜日)
届出状況2009Q3/脆弱性の再指摘
公開: 2024年4月23日10時30分頃
出ていましたね。
- ソフトウェア等の脆弱性関連情報に関する届出状況[2009年第3四半期(7月~9月)] (www.ipa.go.jp)
- Webサイトの脆弱性対応、15%に再修正の指摘 (www.itmedia.co.jp)
驚いたのはこれ。
IPAがウェブサイト運営者に脆弱性の存在を指摘し、運営者が脆弱性を修正後、脆弱性の発見者に修正完了の報告を行った際、2009年1月から9月末までの修正完了779件のうち、発見者から120件(15%)の再指摘がありました(図1)。
再指摘がなんと15%もある!!
ということは、修正完了の報告が来た際に、届出者がちゃんと再確認しているケースが多いということです。これは驚きました。
先に言い訳をするとですね、修正完了の報告ってほとんどの場合、届出から何ヶ月も経ってから来るわけですよ。そうすると、もはや届出時の状況なんて覚えていませんし、「あれ、こんなの届け出ていたっけ?」なんてこともしばしばです。修正されているか確認するためには、状況を思い出すところから始める必要がありまして、まあ、非常にめんどくさいわけです。
というわけで私の場合、印象に残っていない脆弱性については、修正完了の報告をスルーしてしまうことが多くて、ほとんど確認していないわけですね。
※もっとも、印象に残っていた脆弱性の場合は私もちゃんと確認するわけで、その結果として再指摘になったことは結構あります。Websig24/7の時のお話で紹介したケースとか、トレンドマイクロのサイトの件とか。「問題ない」という返答が返ってきたのでちゃんと追試したら駄目だった、なんてのもありますね。
……まあ、ともあれ、「届出者もちゃんと確認しようね」ということですよね。すみません。どこかのタイミングで、過去の届出も全て整理したいですね。
- 「届出状況2009Q3/脆弱性の再指摘」にコメントを書く
関連する話題: セキュリティ / IPA / 情報セキュリティ早期警戒パートナーシップ
- 前(古い): 2009年10月19日(Monday)のえび日記
- 次(新しい): 2009年10月21日(Wednesday)のえび日記
