HOMEIPAについて新着情報プレス発表 ソフトウェア等の脆弱性関連情報に関する届出状況 [2014年第3四半期(7月~9月)]

本文を印刷する

IPAについて

プレス発表 ソフトウェア等の脆弱性関連情報に関する届出状況 [2014年第3四半期(7月~9月)]

~ソフトウェア開発者は速やかにSSLサーバ証明書の検証不備の脆弱性の対応を~

2014年10月23日
独立行政法人情報処理推進機構

 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)およびJPCERT/CC(一般社団法人JPCERTコーディネーションセンター、代表理事:歌代 和正)は、2014年第3四半期(7月~9月)の脆弱性関連情報の届出状況(*1)を「ソフトウェア等の脆弱性関連情報の取扱いに関する活動報告レポート」としてまとめました。

 URL: http://www.ipa.go.jp/security/vuln/report/vuln2014q3.html

 URL: https://www.jpcert.or.jp/report/press.html 別ウィンドウで開く


脆弱性届出受付件数

 2014年第3四半期の脆弱性情報の届出件数は239件で、内訳はソフトウェア製品に関するものが39件で累計1,866件、ウェブサイト(ウェブアプリケーション)に関するものが200件で累計8,218件でした。これにより、2004年7月の届出受付開始からの合計は10,084件となりました。
 2004年7月の本届出制度の開始から10年を経て、累計の届出件数が10,000件を超えました。

脆弱性修正完了件数

 届出のうち2014年第3四半期に修正を完了したものは、ソフトウェア製品については45件で累計925件、ウェブサイトについては183件で累計5,778件でした。ソフトウェア製品とウェブサイトの修正の累計は6,703件で、その割合(*2)は、前者が58%、後者が72%でした。

脆弱性の傾向

① SSLサーバ証明書の検証不備の脆弱性の調整及び公表(レポート1-4-1.参照)
 2014年第3四半期は、SSLサーバ証明書の検証不備の脆弱性が世界的に注目され、その対策情報5件をJVNで公表しました。公表した対策情報は、全てAndroidアプリでしたが、Androidアプリに限った脆弱性では無く、ソフトウェア製品の開発者においては、HTTPS通信を行う全てのクライアントアプリケーションに対して、この脆弱性の有無を調査し、存在する場合は速やかに修正して脆弱性対策情報を公表することが求められます。

② 情報家電をはじめとした組込み機器共通の脆弱性(レポート1-4-2.参照)
 2014年第3四半期のソフトウェア製品の届出のうち、家庭用ルータ・IPカメラといった情報家電の届出が10件ありました。これらの脆弱性のほとんどは機器を管理するためのウェブ管理画面における問題で、異常終了や任意のスクリプトの実行、認証回避といった深刻な脆弱性が含まれていました。製品開発者は、管理ソフトウェア等の機器に組込むソフトウェアの開発に際しても、脆弱性を作り込まないようにすることが求められます。また、情報家電の利用者は、製品開発者がサポートサイトで提供する脆弱性対策情報を確認するほか、JVNなども活用し、迅速かつ適切に対応することが求められます。

脚注

(*1) ソフトウェア等脆弱性関連情報取扱基準:経済産業省告示に基づき、2004年7月より開始しました。IPAは届出受付・分析、JPCERT/CCは国内の製品開発者などの関連組織との調整を行っています。

(*2) ソフトウェア製品:受理した届出件数1,606件中925件、ウェブサイト:受理した届出件数8,035件中5,778件

プレスリリースのダウンロード

レポートのダウンロード

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター 渡辺/板橋

Tel: 03-5978-7527 Fax: 03-5978-7518 E-mail: 電話番号:03-5978-7527までお問い合わせください。

報道関係からのお問い合わせ先

IPA 戦略企画部 広報グループ 横山/白石

Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: 電話番号:03-5978-7503までお問い合わせください。