情報処理推進機構は9月3日、発見・届出された脆弱性のうち、届出から1年以上開発者と連絡がとれないソフトウェア製品の脆弱性が1割弱存在することから、「連絡が取れない」という事実を情報として公開する運用を開始したと発表した。

開発者と連絡が取れないと、①指摘された脆弱性の修正パッチ等が提供できない、②その結果、製品利用者が長期にわたり脆弱性の存在を認識できないまま製品を使い続けてしまう、といった危険が存在する。

そこで、製品利用者の安全確保を第一義とし、「当該製品を使用しないという選択」を可能とするため、「対策情報が提供されていない製品の脆弱性情報」を公表する新たな運用を開始し、IPAのWebサイトの「重要なセキュリティ情報」欄において「連絡不能公表」として掲出する。

今回の取り組みは、2011年9月から「連絡不能開発者一覧」を公表することによって始まっている。一覧では「開発者情報」の公表から3か月後に「製品情報」を公表し、情報提供を広く求めている。今回の新たな運用は、それでも開発者と連絡がとれない場合の対処ということになる。今後は、製品利用者も自主的に脆弱性情報を収集し、安全な利用環境の保持に努めるという。

（川原 龍人/びぎねっと）

［関連リンク］
プレスリリース