HOMEIPAについて新着情報プレス発表 ソフトウェア等の脆弱性関連情報に関する届出状況 [2014年第2四半期(4月~6月)]

本文を印刷する

IPAについて

プレス発表 ソフトウェア等の脆弱性関連情報に関する届出状況 [2014年第2四半期(4月~6月)]

~脆弱性が残存した古いコンテンツ管理システムを利用したウェブサイトは引き続き要注意~

2014年7月24日
独立行政法人情報処理推進機構

 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)およびJPCERT/CC(一般社団法人JPCERTコーディネーションセンター、代表理事:歌代 和正)は、2014年第2四半期(4月~6月)の脆弱性関連情報の届出状況(*1)を「ソフトウェア等の脆弱性関連情報に関する活動報告レポート」としてまとめました。

URL: http://www.ipa.go.jp/security/vuln/report/vuln2014q2.html

URL: https://www.jpcert.or.jp/report/press.html 別ウィンドウで開く


脆弱性届出受付件数
 2014年第2四半期の脆弱性情報の届出件数は329件で、内訳はソフトウェア製品に関するものが40件、ウェブサイト(ウェブアプリケーション)に関するものが289件でした。これにより、2004年7月の届出受付開始からの累計は、ソフトウェア製品に関するものが1,828件、ウェブサイトに関するものが8,019件、合計9,847件となりました。

脆弱性修正完了件数
 届出のうち2014年第2四半期に修正を完了したものは、ソフトウェア製品については29件で累計880件、ウェブサイトについては149件で累計5,595件でした。累計の修正が完了した割合(*2)は、製品が56%、ウェブが71%でした。

脆弱性の傾向:オープンソースソフトウェアの深刻な脆弱性の調整及び公表(レポート1-4-1.参照)
 2014年第2四半期に、世界的に注目された「Apache Struts」および「OpenSSL」などの深刻な脆弱性を、本制度に基づきJVNで公表しました。影響の大きな脆弱性の場合、本制度の利用によって多くの製品開発者に脆弱性関連情報が通知されるだけでなく、利用者に向けた円滑な対策促進が期待できます。

脆弱性の傾向:古いコンテンツ管理システムを利用するウェブサイトに改ざんの危険性(レポート1-4-2.参照)
 本制度で受理したウェブサイトの脆弱性7,842件を分析したところ、241件(うち85件が今四半期の届出)が「Movable Type」や「WordPress」など、古いバージョンのコンテンツ管理システム(CMS)の利用に起因する脆弱性でした。「Movable Type」の脆弱性を使ったと見られるウェブサイトの改ざんについては、JPCERT/CCから注意喚起が公開されています(*3)。ウェブサイト管理者は、CMSに限らず、ウェブサイトで利用しているソフトウェア製品を把握し、最新の状態を保つことで、改ざんなどのリスクの軽減に努める必要があります。また、管理者が不在のウェブサイトに関しては、専門業者への管理委託だけでなく、サイトの閉鎖についてもあわせて検討してください。

脚注

(*1) ソフトウェア等脆弱性関連情報取扱基準:経済産業省告示に基づき、2004年7月より開始しました。IPAは届出受付・分析、JPCERT/CCは国内の製品開発者などの関連組織との調整を行っています。

(*2) ソフトウェア製品:受理した届出件数1,574件中880件、ウェブサイト:受理した届出件数7,842件中5,595件

(*3) 旧バージョンのmovable Type の利用に関する注意喚起: https://www.jpcert.or.jp/at/2014/at140024.html 別ウィンドウで開く

プレスリリースのダウンロード

レポートのダウンロード

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター 渡辺/板橋

Tel: 03-5978-7527 Fax: 03-5978-7518 E-mail: 電話番号:03-5978-7527までお問い合わせください。

報道関係からのお問い合わせ先

IPA 戦略企画部 広報グループ 横山/白石

Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: 電話番号:03-5978-7503までお問い合わせください。