古いソフトウェア製品を利用しているウェブサイトへの注意喚起
省庁・団体情報詳細
| 省庁・団体名 | 独立行政法人情報処理推進機構(IPA) |
| タイトル | 古いソフトウェア製品を利用しているウェブサイトへの注意喚起 |
| 概要 | IPA(独立行政法人情報処理推進機構、理事長:西垣浩司)は、「ソフトウェア製品に脆弱性が発見され、その開発者から修正プログラム(パッチ)が公表されているが、実際に運用しているウェブサイトがパッチを適用していないのではないか?」という旨の届出が増加している状況をふまえ、ウェブサイト運営者に対し脆弱性対策情報の収集とパッチの迅速な適用を呼びかけます。 ソフトウェアの脆弱性を狙った攻撃に対処するためには、攻撃が行われる前に、ソフトウェアに修正プログラム(パッチ)を適用する必要があります。近年、脆弱性の公表から、その脆弱性を狙った攻撃が発生するまでの間隔が短くなっており、ウェブサイト運営者は迅速な対応が求められます。 2008年第3四半期頃から、多数のウェブサイトに対して「ソフトウェア開発者からパッチが公表されているが、ウェブサイト運営者がそのパッチを適用していないのではないか?」という旨の届出が増加していることから、IPAとしては、ウェブサイト運営者に対して注意を喚起することとしました。 具体的には、2004年12月に公表された「Namazuにおけるクロスサイト・スクリプティングの脆弱性」や、2005年10月に公表された「OpenSSLにおけるバージョン・ロールバックの脆弱性」のパッチ未適用の可能性を指摘する届出が、2009年3月16日までに272のウェブサイトに対してありました。その運営主体別の内訳は、民間企業が100のウェブサイト、地方公共団体が74、教育・学術機関が37、団体(協会・社団法人)が32、政府機関が15など広範囲にわたっています。 IPAでまとめた「2008年のコンピュータ不正アクセス届出状況」では、実際に被害があった原因として「古いバージョンの使用・パッチ未適用」が第2位で16件あり13%を占めています。実被害にあわないために、ウェブサイト運営者は、自組織のウェブサイトが使用しているソフトウェアの脆弱性対策情報を収集し、未対策の場合はパッチの迅速な適用が必要です。 脆弱性対策情報は、「脆弱性対策情報データベースJVN iPedia」や「脆弱性対策情報収集ツールMyJVN」により効率的に収集することが可能です。 |
| 詳細URL | http://www.ipa.go.jp/security/vuln/documents/2009/200903_update.html |
お問い合わせ
IPA セキュリティ センター 山岸/渡辺
Tel:03-5978-7527 Fax:03-5978-7518 E-mail:
掲載日 :2009年3月19日
掲載期限:2009年6月19日