水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 届出状況2009Q3/脆弱性の再指摘

届出状況2009Q3/脆弱性の再指摘

2009年10月20日(火曜日)

届出状況2009Q3/脆弱性の再指摘

公開: 2018年7月22日10時30分頃

出ていましたね。

驚いたのはこれ。

IPAがウェブサイト運営者に脆弱性の存在を指摘し、運営者が脆弱性を修正後、脆弱性の発見者に修正完了の報告を行った際、2009年1月から9月末までの修正完了779件のうち、発見者から120件(15%)の再指摘がありました(図1)。

以上、ソフトウェア等の脆弱性関連情報に関する届出状況[2009年第3四半期(7月~9月)] より

再指摘がなんと15%もある!!

ということは、修正完了の報告が来た際に、届出者がちゃんと再確認しているケースが多いということです。これは驚きました。

先に言い訳をするとですね、修正完了の報告ってほとんどの場合、届出から何ヶ月も経ってから来るわけですよ。そうすると、もはや届出時の状況なんて覚えていませんし、「あれ、こんなの届け出ていたっけ?」なんてこともしばしばです。修正されているか確認するためには、状況を思い出すところから始める必要がありまして、まあ、非常にめんどくさいわけです。

というわけで私の場合、印象に残っていない脆弱性については、修正完了の報告をスルーしてしまうことが多くて、ほとんど確認していないわけですね。

※もっとも、印象に残っていた脆弱性の場合は私もちゃんと確認するわけで、その結果として再指摘になったことは結構あります。Websig24/7の時のお話で紹介したケースとか、トレンドマイクロのサイトの件とか。「問題ない」という返答が返ってきたのでちゃんと追試したら駄目だった、なんてのもありますね。

……まあ、ともあれ、「届出者もちゃんと確認しようね」ということですよね。すみません。どこかのタイミングで、過去の届出も全て整理したいですね。

関連する話題: セキュリティ / IPA / 情報セキュリティ早期警戒パートナーシップ

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 Webプログラミング

その他サイト