（1）脆弱性届出状況の報告

　2012年第4四半期のIPAへの脆弱性情報の届出件数は220件で、内訳はソフトウェア製品に関するものが44件、ウェブサイト（ウェブアプリケーション）に関するものが176件でした。これにより、2004年7月の届出受付開始からの累計は、ソフトウェア製品に関するものが1,467件、ウェブサイトに関するものが6,700件、合計8,167件となりました。
　また、届出のうち2012年第4四半期に修正を完了したものは、ソフトウェア製品については25件（修正完了率55%）、ウェブサイトについては113件（修正完了率70%）でした。

　届出のあった脆弱性関連情報のうち、特に注目すべき事例について以下に簡単に紹介します。

（2）HTTPSの設定不備の脆弱性について

　ウェブサイトで正しくHTTPSの設定が行われていないケースが報告されています。例えば、個人情報を送信するとき、送信先のURLがHTTPSに設定されていても、その個人情報を利用者に入力させる画面のURLがHTTPSとなるよう設定されていない場合があります。この場合、経路上で入力画面が改ざんされてもウェブサイト閲覧者はそのことに気付くことができません。ウェブサイト運営者は入力画面にもHTTPSを設ける事が必要です。

（3）DOMベースのクロスサイト・スクリプティングの脆弱性

　JavaScriptによるリファラ情報の解析処理に存在するアクセス解析ソフトの脆弱性など、DOMベースのクロスサイト・スクリプティング（以降DOM Based XSS）の脆弱性が数多く報告されています。DOM Based XSSにおいても、通常のクロスサイト・スクリプティング同様に外部から入力されたスクリプトを出力させないように対策することを推奨します。特に「DOM操作用のメソッドを使用する」、「出力内容に応じてエスケープ処理を施す」、「JavaScriptライブラリの問題の場合はライブラリをアップデートする」といった対策が実施済みであるかの確認が必要です。

(*1)ソフトウェア等脆弱性関連情報取扱基準：経済産業省告示に基づき、2004年7月より開始しました。IPAは届出受付・分析、JPCERT/CCは国内の製品開発者などの関連組織との調整を行っています。

(*2) 2012年度第4四半期分より、届出状況について「脆弱性関連情報に関する活動状況レポート」として報告します。

• プレスリリース全文 (PDFファイル 161KB)
  
• ソフトウェア等の脆弱性関連情報に関する活動状況レポート (PDFファイル 713KB)

• 脆弱性関連情報に関する届出状況の一覧

IPA 技術本部 セキュリティセンター　渡辺／大森

Tel: 03-5978-7527　Fax: 03-5978-7518　E-mail:

IPA 戦略企画部 広報グループ　横山／佐々木

Tel: 03-5978-7503　Fax: 03-5978-7510　E-mail: