（1）SQLインジェクション、セッション管理の不備の届出が増加

　2010年第3四半期のIPAへの脆弱性関連情報の届出件数は115件です。内訳は、ソフトウェア製品に関するものが42件、ウェブアプリケーション（ウェブサイト）に関するものが73件です。ウェブサイトに関する届出は、前四半期と比較して、「クロスサイト・スクリプティング」の届出が大幅に減少（前四半期：88件、今四半期：25件）し、代わりに、「SQLインジェクション」（前四半期：9件、今四半期：23件）、「セッション管理の不備」（前四半期：4件、今四半期：11件）の届出が大幅に増加しています。

(2) 脆弱性の修正完了件数が3,600件を突破

　2004年7月の届出受付開始からのソフトウェア製品およびウェブサイトの脆弱性の修正完了件数の累計は3,644件となりました。内訳は、ソフトウェア製品が435件、ウェブサイトが3,209件です。これは、本届出制度（ウェブサイト運営者への通知含む）が、定着してきていることを示していると考えられます。

(3) 携帯電話向けウェブサイトの脆弱性の届出が増加

　ウェブサイトの脆弱性のうち、「セッション管理の不備」と「認証に関する不備」の届出に顕著な増加が見られます。届出全体に占める比率はまだ小さいものの、本届出制度開始から2009年9月末までの5年3か月間の累計がそれぞれ40件、29件であったものが、2009年10月から2010年9月末での1年間でそれぞれ26件、19件となっています。

　これらの脆弱性に関する届出は、携帯電話向けのウェブサイトや、複数のウェブサイト（ウェブページ）間で連携する機能を持ったソーシャルネットワーキングサービス（SNS）等のウェブサイトに対するものが多く、約6割を占めています。

　ウェブサイト運営者は「クロスサイト・スクリプティング」や「SQLインジェクション」の対策だけでなく、「セッション管理の不備」や「認証に関する不備」にも対応することが重要です。中でも、携帯電話向けのウェブサイトや複数のウェブサイト（ウェブページ）間で連携する機能を持ったウェブサイトの運営者は、「セッション管理の不備」及び「認証に関する不備」の脆弱性には特に注意することが必要です。

(*1)ソフトウェア等脆弱性関連情報取扱基準：経済産業省告示（http://www.meti.go.jp/policy/netsecurity/downloadfiles/vulhandlingG.pdf）に基づき、2004年7月より開始しました。IPAは届出受付・分析、JPCERT/CCは国内の製品開発者などの関連組織との調整を行っています。

• プレスリリース全文 (PDFファイル 205KB)
  
• 別紙1 (PDFファイル 332KB)
• 別紙2 (PDFファイル 411KB)

• 脆弱性関連情報に関する届出状況の一覧

IPA セキュリティセンター　渡辺／大森
Tel: 03-5978-7527　Fax: 03-5978-7518
E-mail:

IPA 戦略企画部広報グループ　横山／大海
Tel: 03-5978-7503　Fax: 03-5978-7510
E-mail: