HOMEIPAについて新着情報プレス発表 ソフトウェア等の脆弱性関連情報に関する届出状況 [2014年第4四半期(10月~12月)]

本文を印刷する

IPAについて

プレス発表 ソフトウェア等の脆弱性関連情報に関する届出状況 [2014年第4四半期(10月~12月)]

~ウェブサイトに潜むディレクトリ・トラバーサルの脆弱性の見つけ方に注意~

2015年1月28日
独立行政法人情報処理推進機構

 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)およびJPCERT/CC(一般社団法人JPCERTコーディネーションセンター、代表理事:歌代 和正)は、2014年第4四半期(10月~12月)の脆弱性関連情報の届出状況(*1)を「ソフトウェア等の脆弱性関連情報の取扱いに関する活動報告レポート」としてまとめました。

 URL:http://www.ipa.go.jp/security/vuln/report/vuln2014q4.html

 URL:https://www.jpcert.or.jp/report/press.html別ウィンドウで開く


脆弱性届出受付件数

 今期の脆弱性情報の届出件数は478件で、内訳はソフトウェア製品に関するものが86件で累計1,952件、ウェブサイト(ウェブアプリケーション)に関するものが392件で累計8,703件でした。これにより、2004年7月の届出受付開始からの累計は10,655件となりました。

脆弱性修正完了件数

 届出のうち今期に修正を完了したものは、ソフトウェア製品が34件で累計959件、ウェブサイトは163件で累計5,941件でした。ソフトウェア製品とウェブサイトの修正の累計は6,900件でした。届出を受理した総数に占める修正完了の累計値の割合(*2)は、前者が57%、後者が70%でした。

脆弱性の傾向:ウェブサイトに潜む「ディレクトリ・トラバーサル」の脆弱性の見つけ方に注意(レポート1-4.参照)

 今期のウェブサイトおよびソフトウェア製品の届出478件のうち約30%は「ディレクトリ・トラバーサル」の脆弱性に関するものでした。この脆弱性がウェブサイトに存在した場合、悪意ある第三者によって、インターネット上で非公開の重要情報を閲覧・ダウンロードされるなどの危険性があります。
 なお、この脆弱性をウェブサイト関係者以外が見つける場合、その方法に注意が必要です。ウェブサイトに「ディレクトリ・トラバーサル」の脆弱性がある場合、誤って非公開のファイルにアクセスしてしまい、不正行為とみなされる可能性があります。「ディレクトリ・トラバーサル」の脆弱性を見つける場合には、インターネット上で公開されていることをあらかじめ確認したファイルを対象にして実行する必要があります。

脚注

(*1) ソフトウェア等脆弱性関連情報取扱基準:経済産業省告示に基づき、2004年7月より開始しました。IPAは届出受付・分析、JPCERT/CCは国内の製品開発者などの関連組織との調整を行っています。

(*2) 受理したソフトウェア製品の届出件数1,680件中のうち修正完了は959件、受理したウェブサイトの届出件数8,519件中のうち修正完了は5,941件。

プレスリリースのダウンロード

レポートのダウンロード

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター 渡辺/板橋

Tel: 03-5978-7527 Fax: 03-5978-7518 E-mail: 電話番号:03-5978-7527までお問い合わせください。

報道関係からのお問い合わせ先

IPA 戦略企画部 広報グループ 横山/白石

Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: 電話番号:03-5978-7503までお問い合わせください。