プレス発表
ソフトウェア等の脆弱性関連情報に関する届出状況
[2012年第1四半期(1月〜3月)]
2012年4月23日
独立行政法人情報処理推進機構
セキュリティセンター
〜スマートフォンアプリに「アクセス制限の実装上の不備」の脆弱(ぜいじゃく)性〜
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)およびJPCERT/CC(一般社団法人JPCERTコーディネーションセンター、代表理事:歌代 和正)は、 2012年第1四半期(1月〜3月)の脆弱性関連情報の届出状況(*1)をまとめました。
URL: http://www.ipa.go.jp/security/vuln/report/vuln2012q1.html
概要
(1)脆弱性の届出件数の累計が7,581件に
2012年第1四半期のIPAへの脆弱性関連情報の届出件数は269件です。内訳は、ソフトウェア製品に関するものが53件、ウェブサイト(ウェブアプリケーション)に関するものが216件でした。これにより、2004年7月の届出受付開始からの累計は、ソフトウェア製品に関するものが1,339件、ウェブサイトに関するものが6,242件、合計7,581件となりました。
(2)脆弱性の修正完了件数の累計が4,600件を突破
ソフトウェア製品の脆弱性の届出のうち、JPCERT/CCが調整を行い、製品開発者が修正を完了し、2012年第1四半期にJVN(*2)で対策情報を公表したものは26件(累計606件)でした。また、ウェブサイトの脆弱性の届出のうち、IPAがウェブサイト運営者に通知し、2012年第1四半期に修正を完了したものは218件(累計4,073件)でした。これにより、ソフトウェア製品を含めた脆弱性の修正件数は累計で4,679件となりました。
(3)スマートフォンアプリにアクセス制限の実装上の不備の脆弱性
スマートフォン用のアプリケーション(スマートフォンアプリ)に関する脆弱性の届出において、「アクセス制限の実装上の不備」により情報漏えいにつながる脆弱性の届出が、過去一年のスマートフォンアプリ全体の届出の85%を占めています。
スマートフォンアプリの製品開発者は、情報漏えいにつながる脆弱性を作り込まないように、アクセス制限の設定(*3)を十分に考慮したうえで、開発に取り組むことが必要です。
脚注
(*1)ソフトウェア等脆弱性関連情報取扱基準:経済産業省告示(http://www.meti.go.jp/policy/netsecurity/downloadfiles/vulhandlingG.pdf)に基づき、2004年7月より開始しました。IPAは届出受付・分析、JPCERT/CCは国内の製品開発者などの関連組織との調整を行っています。
(*2) Japan Vulnerability Notes:脆弱性対策情報ポータルサイト。国内で利用されている製品の脆弱性対策情報を公表し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/
(*3)Android アプリの場合、AndroidManifest.xml における Android コンポーネント(アクティビティなど)の設定項目が該当します。
http://developer.android.com/guide/topics/manifest/manifest-intro.html
資料のダウンロード
(PDFファイル 263KB)参考情報
本件に関するお問い合わせ先
IPA 技術本部 セキュリティセンター 渡辺/大森
Tel: 03-5978-7527 Fax: 03-5978-7518 E-mail:
報道関係からのお問い合わせ先
IPA 戦略企画部 広報グループ 横山/大海
Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: