HOMEIPAについて新着情報プレス発表 ソフトウェア等の脆弱性関連情報に関する届出状況 [2015年第1四半期(1月~3月)]

本文を印刷する

IPAについて

プレス発表 ソフトウェア等の脆弱性関連情報に関する届出状況 [2015年第1四半期(1月~3月)]

~WordPress等CMSのプラグイン、テーマといった拡張機能の脆弱性にも注意~

2015年4月23日
独立行政法人情報処理推進機構

 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)およびJPCERT/CC(一般社団法人JPCERTコーディネーションセンター、代表理事:歌代 和正)は、2015年第1四半期(1月~3月)の脆弱性関連情報の届出状況(*1)を「ソフトウェア等の脆弱性関連情報の取扱いに関する活動報告レポート」としてまとめました。

 URL:https://www.ipa.go.jp/security/vuln/report/vuln2015q1.html

 URL:https://www.jpcert.or.jp/report/press.html 別ウィンドウで開く

脆弱性届出件数

 今期の脆弱性情報の届出件数は245件で、内訳はソフトウェア製品に関するものが84件で累計2,034件、ウェブサイト(ウェブアプリケーション)に関するものが161件で累計8,864件でした。これにより、2004年7月の届出受付開始からの累計は10,898件となりました。

脆弱性修正完了件数

 届出のうち今期に修正を完了したものは、ソフトウェア製品が41件で累計1,000件、ウェブサイトは253件で累計6,194件でした。ソフトウェア製品とウェブサイトの修正の累計は7,194件でした。また、累計での届出受理数に占める修正完了数の割合は、前者が57%、後者が71%(*2)でした。

脆弱性の傾向:WordPressプラグイン・テーマの脆弱性に注意(レポート1-4.参照)

 前述の41件のうち、6件はCMS(Content Management System)の一種「WordPress」の本体と一緒に使用する「プラグイン」や「テーマ」といった“拡張機能”に作りこまれた脆弱性でした。
 このような“拡張機能”は、不特定の第三者が自由に開発・提供しています。そのため、安全性への配慮が十分でない場合、“拡張機能”に脆弱性が作りこまれてしまうことがあります。その結果、こうした“拡張機能”を使用して作成したウェブページはもちろんのこと、CMS本体にも脆弱性の影響が及ぶ可能性があり注意が必要です。
 この具体的な事例として2015年3月に国内で発生したウェブサイト改ざんの中に、「WordPress」の“拡張機能” である「プラグイン」にあった脆弱性が悪用されたケースがありました。この様な脆弱性の悪用を避けるために求められるのは、製品開発者は、“拡張機能”自体に脆弱性を作りこまないこと、CMS本体に組み込んだ際に脆弱性が作りこまれないことを確認し、提供することです。また、CMSおよびその“拡張機能”の利用者は、使用している“拡張機能”の脆弱性対策情報を確実に把握すること、使用していない場合は削除すること、常に最新版にアップデートし、安全な状態を維持することです。

脚注

(*1) ソフトウェア等脆弱性関連情報取扱基準:経済産業省告示に基づき、2004年7月より開始しました。IPAは届出受付・分析、JPCERT/CCは国内の製品開発者などの関連組織との調整を行っています。

(*2) 受理したソフトウェア製品の届出件数1,755件のうち修正完了は1,000件、受理したウェブサイトの届出件数8,674件のうち修正完了は6,194件。

プレスリリースのダウンロード

レポートのダウンロード

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター 渡辺/板橋

Tel: 03-5978-7527 Fax: 03-5978-7518 E-mail: 電話番号:03-5978-7527までお問い合わせください。

報道関係からのお問い合わせ先

IPA 戦略企画部 広報グループ 横山/白石

Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: 電話番号:03-5978-7503までお問い合わせください。