情報処理推進機構(IPA)とJPCERT/CCは、ソフトウェアなどの脆弱性関連情報の届出に関して、2005年第2四半期(4～6月)の状況をまとめた。同期の総届出数は84件で、前期の83件とほぼ同等。Webアプリケーションに関する届出は減ったが、ソフトウェアに関しては増加した。制度開始以来、届出件数は累計で約340件に達した。

ソフトウェアに関しては18件の届出があり、そのうち取り扱いが完了し、脆弱性情報を集めるJVNで公表したものは12件。脆弱性ではないと判断されたものが8件、2件が不受理だった。

届出から公表までにかかった平均日数は115日。制度開始後2期は40日強だったが、前期から100日を超えた。これについてIPAでは、1カ月以内で対策・公表が行われた製品もあったが、海外拠点開発製品で、修正が9カ月以上かかったものもあったため平均日数が増加、公表までに要する日数に二極化が見られる、としている。

同期に公表された脆弱性には、「nProtect:Netizenに複数の脆弱性」「Wikiクローンにおけるクロスサイト・スクリプティングの脆弱性」「WebUDにおけるクロスサイト・スクリプティングの脆弱性」「Movable Typeにおけるセッション管理の脆弱性」など。またJVNでは、米CERT/CC、英NISCCという海外インシデント対応機関からの情報も17件が公開された。

Webアプリケーションに関しては、届出が66件で、累計では277件、修正が完了したのは33件となった。従来通りクロスサイト・スクリプティングの脆弱性が最も多かったが、前期と比べて全体に占める割合は減少しており、先日Webサイトへの不正アクセスで逮捕された学生も悪用したSQLインジェクション、VISAなどのドメインで話題となったDNS情報の設定不備といった脆弱性も多く報告されている。

届出から修正までにかかった日数は、10日までに修正した例が最多で、3カ月以内に9割近くが修正されている。