ソフトウェア等の脆弱性関連情報に関する届出状況
[2011年第2四半期(4月〜6月)]
掲載日 2011年7月26日
独立行政法人 情報処理推進機構
セキュリティセンター
2011年第2四半期 ソフトウェア等の脆弱性関連情報に関する届出状況
1. 脆弱性関連情報の届出状況
〜脆弱性の届出件数の累計が6,651件になりました〜
表1は2011年第2四半期のIPAへの脆弱性関連情報の届出件数および届出開始(2004年7月8日)から今四半期までの累計件数を示しています。今期の届出件数はソフトウェア製品に関するもの44件、ウェブアプリケーション(ウェブサイト)に関するもの39件、合計83件でした。届出受付開始からの累計件数は、ソフトウェア製品に関するもの1,207件、ウェブサイトに関するもの5,444件、合計6,651件となりました。ウェブサイトに関する届出が全体の82%を占めています。
図1のグラフは過去3年間の届出件数の四半期別推移を示したものです。今四半期のソフトウェア製品の届出は前四半期と比較して約2倍となり、今四半期のウェブサイトの届出は前四半期の約6割となります。表2は過去3年間の四半期別の累計届出件数および1就業日あたりの届出件数の推移です。1就業日あたりの届出件数は2011年第2四半期末で3.91(*1)件となりました。
| 分類 | 今期件数 | 累計件数 |
|---|---|---|
| ソフトウェア製品 | 44 件 | 1,207 件 |
| ウェブサイト | 39 件 | 5,444 件 |
| 合計 | 83 件 | 6,651 件 |
| 2008 | 2009 | 2010 | 2011 | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 3Q | 4Q | 1Q | 2Q | 3Q | 4Q | 1Q | 2Q | 3Q | 4Q | 1Q | 2Q | |
| 累計届出件数 [件] |
2,884 | 4,373 | 5,224 | 5,653 | 5,823 | 5,974 | 6,145 | 6,299 | 6,413 | 6,480 | 6,568 | 6,651 |
| 1就業日あたり [件/日] |
2.78 | 3.99 | 4.53 | 4.65 | 4.56 | 4.47 | 4.40 | 4.32 | 4.22 | 4.10 | 4.00 | 3.91 |
図2のグラフは今四半期に届出されたソフトウェア製品の脆弱性関連情報44件のうち、不受理を除いた38件の製品種類の内訳を、図3は脆弱性がもたらす脅威の内訳を示したものです。製品の種類は「ルータ」が最も多く、次いで「ウェブアプリケーションソフト」となっています。脆弱性がもたらす脅威は「サービス不能」が最も多く、次いで「なりすまし」が多く届出されており、これらの届出で全体の6割強を占めています。
図4のグラフは今四半期に届出されたウェブサイトの脆弱性関連情報39件のうち、不受理を除いた38件のウェブサイト運営主体の内訳を、図5は脆弱性の種類の内訳を示したものです。運営主体は企業が全体の71%を占めています。また、脆弱性の種類は「クロスサイト・スクリプティング」が最も多く、全体の68%を占めています。
2. 脆弱性の修正完了状況
〜ソフトウェア製品およびウェブサイトの修正件数が4,000件を突破しました〜
表3は2011年第2四半期のソフトウェア製品とウェブサイトの修正完了件数および届出開始から今四半期までの累計件数を示しています。
ソフトウェア製品の脆弱性の届出に関して、JPCERT/CCが調整を行い、製品開発者が修正を完了し、 2011年第2四半期にJVN(*2)で対策情報を公表したものは26件(累計516件)でした。届出開始から今四半期までの修正完了件数の累計が500件を超えました。今四半期も前四半期(24件)に引き続き同じ水準で公表されています。JVNで公表した26件の脆弱性対策情報について、脆弱性の種類はクロスサイト・スクリプティングが9件と最も多く、次いでクロスサイト・リクエスト・フォージェリが2件、サービス運用妨害が2件などです(別紙2 表1-3参照)。
今四半期に公表した26件のうち、届出を受理してから45日以内に公表した届出は3件でした。製品開発者には速やかな対策およびJVNで脆弱性対策情報を公表するための協力を期待します。
ウェブサイトの脆弱性関連情報の届出に関して、IPAがウェブサイト運営者に通知を行い、 2011年第2四半期に修正を完了したものは63件(累計3,511件)でした。修正完了した63 件の内訳は、ウェブサイト運営者が修正を完了したものが41件(65%)、当該ページを削除したものが22件(35%)でした。なお、修正完了した63件のうち29件(46%)は、届出から修正完了まで1年以上経過していました。ウェブサイト運営者による、速やかな対策を期待します。
| 分類 | 今期件数 | 累計件数 |
|---|---|---|
| ソフトウェア製品 | 26 件 | 516 件 |
| ウェブサイト | 63 件 | 3,511 件 |
| 合計 | 89 件 | 4,027 件 |
3. 脆弱性の取扱い状況
〜400件を超えるソフトウェア製品がいまだに未修正〜
ソフトウェア製品の脆弱性関連情報の届出の取扱い状況は、前四半期の取扱い中件数429件から、今四半期で37件が取扱い終了となった一方、新たに44件が取扱い中となり、合計で436件が取扱い中です(前四半期比9件増)。
表4は、届出された年毎の取扱い中の割合を示しています。全届出件数1,207件のうち436件(36%)の届出が取扱い中であり、それらの脆弱性対策情報が公表されていません。2005年以前の届出については、取扱い中の割合が約10%以下なのに対して、2006年以降の届出については30%以上が取扱い中となっています。
| 分類 | 2004年 | 2005年 | 2006年 | 2007年 | 2008年 | 2009年 | 2010年 | 2011年 | 合計件数 |
|---|---|---|---|---|---|---|---|---|---|
| 届出件数 | 33 件 | 110 件 | 285 件 | 197 件 | 234 件 | 157 件 | 127 件 | 64 件 | 1,207 件 |
| 取扱い中件数 | 1 件 | 11 件 | 87 件 | 68 件 | 109 件 | 67 件 | 49 件 | 44 件 | 436 件 |
| 取扱い中割合 | 3% | 10% | 31% | 35% | 47% | 43% | 39% | 69% | 36% |
図6は、取扱い中の届出436件のソフトウェア製品種類別の内訳を、図7は、脆弱性がもたらす脅威別の内訳をそれぞれ示したものです。
ソフトウェア製品の種類は「ウェブアプリケーションソフト」が最も多く、次いで「ウェブブラウザ」となっています。脆弱性がもたらす脅威は、「任意のスクリプトの実行」が最も多く、次いで「情報の漏洩(ろうえい)」となっています。一般利用者の多くが利用しているソフトウェア製品である「ウェブアプリケーションソフト」、「ウェブブラウザ」の届出が約半数(55%)を占めています。
IPAおよびJPCERT/CCでは、脆弱性の修正が進まない要因の一つである、製品開発者と連絡が取れない状況を改善するための取組み(*3)を開始しました。製品開発者には、開発したソフトウェア製品の提供に伴う責任として脆弱性情報を受け取るための連絡先の明示および、届出された脆弱性に対する速やかな対策を期待します。
ウェブサイトの脆弱性関連情報の届出の取扱い状況は、前四半期の取扱い中件数386件から、今四半期で83件が取扱い終了となった一方、新たに39件が取扱い中となり、合計で342件が取扱い中です(前四半期比44件減)。
表5は、届出された年毎の取扱い中の割合を示しています。全届出件数5,444件のうち、342件(6%)の届出が取扱い中です。2009年以前の届出(4,958件)については、取扱い中の届出の割合が5%以下(241件)に対して、2010年以降の届出(486件)については、21%(101件)が取扱い中となっています。
| 分類 | 2004年 | 2005年 | 2006年 | 2007年 | 2008年 | 2009年 | 2010年 | 2011年 | 合計件数 |
|---|---|---|---|---|---|---|---|---|---|
| 届出件数 | 140 件 | 294 件 | 315 件 | 374 件 | 2,391 件 | 1,444 件 | 379 件 | 107 件 | 5,444 件 |
| 取扱い中件数 | 0 件 | 5 件 | 2 件 | 14 件 | 125 件 | 95 件 | 50 件 | 51 件 | 342 件 |
| 取扱い中割合 | 0% | 2% | 1% | 4% | 5% | 7% | 13% | 48% | 6% |
図8は、取扱い中の届出342件の脆弱性の種類別の内訳を、図9は、脆弱性がもたらす脅威別の内訳をそれぞれ示したものです。
脆弱性の種類は「クロスサイト・スクリプティング」が最も多く、次いで「SQLインジェクション」となっています。脆弱性がもたらす脅威は、「本物サイト上への偽情報の表示」が最も多く、次いで「データ改ざん、消去」となっています。これらのうち、「データ改ざん、消去」、「個人情報の漏洩」といった、ウェブサイトの利用者およびウェブサイト運営者に甚大な被害・影響を及ぼす脆弱性に関する届出が35%を占めています。
IPAでは、これらの脆弱性対策が行われていないウェブサイトを減少させるために、ウェブサイト運営者に対して、脆弱性対策を促す活動を継続して実施しています。昨今のサイバー攻撃に見られるように、脆弱性を悪用した攻撃が行われた場合、情報流出などの一時的な被害に留まらず、社会的な信用の失墜、利用者への二次被害など、組織運営にも大きく影響します。ウェブサイト運営者には、組織運営上の課題として確実な脆弱性対策に取組むことを期待します。
脚注
(*1)1就業日あたりの届出件数とは、「累計届出件数」/「届出受付開始からの就業日数」にて算出
(*2)Japan Vulnerability Notes:脆弱性対策情報ポータルサイト。国内で利用されている製品の脆弱性対策情報を公表し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/
(*3)製品開発者からの連絡を求めていることを周知するために連絡不能開発者一覧をJVNに掲載。
http://jvn.jp/
参考情報
本件に関するお問い合わせ先
IPA セキュリティセンター 渡辺/大森
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: 
JPCERT/CC 情報流通対策グループ 古田
Tel: 03-3518-4600 Fax: 03-3518-4602
E-mail: 
更新履歴
| 2011年7月26日 | 掲載 |
|---|