（1）脆弱性の届出件数の累計が7,950件に

　2012年第3四半期のIPAへの脆弱性関連情報の届出件数は197件で、内訳はソフトウェア製品に関するものが40件、ウェブサイト（ウェブアプリケーション）に関するものが157件でした。これにより、2004年7月の届出受付開始からの累計は、ソフトウェア製品に関するものが1,424件、ウェブサイトに関するものが6,526件、合計7,950件となりました。

（2）脆弱性の修正完了件数の累計が5,000件を突破、スマホ関連製品が急増

　ソフトウェア製品の脆弱性の届出のうち、JPCERT/CCが調整を行い、製品開発者が修正を完了し、2012年第3四半期にJVN^(*2)で対策情報を公表したものは28件（累計667件）でした。また、ウェブサイトの脆弱性の届出のうち、IPAがウェブサイト運営者に通知し、2012年第3四半期に修正を完了したものは171件（累計4,436件）でした。これにより、ソフトウェア製品を含めた脆弱性の修正件数は累計で5,103件となりました。
　また、今四半期にJVNで対策情報を公開した28件のうち15件はスマートフォン（以降「スマホ」と記載）関連製品ということで、全体の54%を占める割合になり、前四半期と比較してスマホ関連製品の割合が急増しています。

（3）DOMベースのクロスサイト・スクリプティングの脆弱性に注意

　2012年第3四半期に、ウェブサイトにおけるクロスサイト・スクリプティング（以降、XSS）の脆弱性として届け出られた138件のうち、19件（14%）は「DOM（Document Object Model）ベースのXSS^(*3)」でした。このほとんどはウェブサイト構築事業者が独自に作成したJavaScriptライブラリに脆弱性が存在していたために、この事業者のライブラリを使った複数のウェブサイトに同じ脆弱性が作り込まれていました。ウェブサイト構築事業者およびウェブサイト運営者は、脆弱性対策の施された安全なライブラリの使用に努めると共に脆弱性診断等によりミドルウェアやライブラリ等を含めたウェブサイト全体の脆弱性対策に努めることが重要です。

(*1)ソフトウェア等脆弱性関連情報取扱基準：経済産業省告示に基づき、2004年7月より開始しました。IPAは届出受付・分析、JPCERT/CCは国内の製品開発者などの関連組織との調整を行っています。

(*2) Japan Vulnerability Notes：脆弱性対策情報ポータルサイト。国内で利用されている製品の脆弱性対策情報を公表し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/

(*3)ウェブブラウザ上で動的にHTMLを操作する箇所に存在する、クロスサイト・スクリプティングの脆弱性を指します。

• プレスリリース全文 (PDFファイル 289KB)
  
• 別紙1 (PDFファイル 369KB)
• 別紙2 (PDFファイル 593KB)

• 脆弱性関連情報に関する届出状況の一覧

IPA 技術本部 セキュリティセンター　渡辺／大森

IPA 戦略企画部 広報グループ　横山／佐々木