ソフトウェア等の脆弱性関連情報に関する届出状況
[2011年第3四半期(7月〜9月)]
掲載日 2011年10月21日
独立行政法人 情報処理推進機構
セキュリティセンター
2011年第3四半期 ソフトウェア等の脆弱性関連情報に関する届出状況
1. 脆弱性関連情報の届出状況
〜脆弱性の届出件数の累計が6,891件になりました〜
表1は2011年第3四半期のIPAへの脆弱性関連情報の届出件数および届出開始(2004年7月8日)から今四半期までの累計件数を示しています。今期の届出件数はソフトウェア製品に関するもの36件、ウェブアプリケーション(ウェブサイト)に関するもの198件、合計234件でした。届出受付開始からの累計件数は、ソフトウェア製品に関するもの1,249件、ウェブサイトに関するもの5,642件、合計6,891件となりました。ウェブサイトに関する届出が全体の82%を占めています。
図1のグラフは過去3年間の届出件数の四半期別推移を示したものです。今四半期のソフトウェア製品の届出は前四半期と比較して減少しましたが、ウェブサイトの届出が急増し前四半期の5倍強となっています。表2は過去3年間の四半期別の累計届出件数および1就業日あたりの届出件数の推移です。1就業日あたりの届出件数は2011年第3四半期末で3.91(*1)件となりました。
| 分類 | 今期件数 | 累計件数 |
|---|---|---|
| ソフトウェア製品 | 36 件 | 1,249 件 |
| ウェブサイト | 198 件 | 5,642 件 |
| 合計 | 234 件 | 6,891 件 |
| 2008 | 2009 | 2010 | 2011 | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 4Q | 1Q | 2Q | 3Q | 4Q | 1Q | 2Q | 3Q | 4Q | 1Q | 2Q | 3Q | |
| 累計届出件数 [件] |
4,373 | 5,224 | 5,653 | 5,823 | 5,974 | 6,145 | 6,299 | 6,413 | 6,480 | 6,568 | 6,657 | 6,891 |
| 1就業日あたり [件/日] |
3.99 | 4.53 | 4.65 | 4.56 | 4.47 | 4.40 | 4.32 | 4.22 | 4.10 | 4.00 | 3.92 | 3.91 |
図2のグラフは今四半期に届出されたソフトウェア製品の脆弱性関連情報36件のうち、不受理を除いた35件の製品種類の内訳を、図3は脆弱性がもたらす脅威の内訳を示したものです。製品の種類は「ウェブアプリケーションソフト」が最も多く、次いで「ウェブブラウザ」と「OS」となっています。脆弱性がもたらす脅威は「任意のスクリプト実行」、「情報漏洩」、「サービス不能」が多く届出されており、これらの届出で全体の6割を占めています。
図4のグラフは今四半期に届出されたウェブサイトの脆弱性関連情報198件のうち、不受理を除いた194件のウェブサイト運営主体の内訳を、図5は脆弱性の種類の内訳を示したものです。運営主体は「企業」が全体の77%を占めています。また、脆弱性の種類は「クロスサイト・スクリプティング」が最も多く、全体の92%を占めています。
2. 脆弱性の修正完了状況
〜ソフトウェア製品およびウェブサイトの修正件数が4,100件を突破しました〜
表3は2011年第3四半期のソフトウェア製品とウェブサイトの修正完了件数および届出開始から今四半期までの累計件数を示しています。
ソフトウェア製品の脆弱性の届出に関して、JPCERT/CCが調整を行い、製品開発者が修正を完了し、 2011年第3四半期にJVN(*2)で対策情報を公表したものは29件(累計545件)でした。2010年第4四半期以降は公表件数が30件前後で推移しています。JVNで公表した29件の脆弱性対策情報について、脆弱性の種類は「クロスサイト・スクリプティング」が11件と最も多く、次いで「サービス運用妨害」が3件などです(別紙2 表1-3参照)。
今四半期に公表した29件のうち、届出を受理してから45日以内に公表した届出は0件でした。IPAおよびJPCERT/CCは、製品開発者に速やかな対策およびJVNで脆弱性対策情報を公表するための協力を期待します。
ウェブサイトの脆弱性関連情報の届出に関して、IPAがウェブサイト運営者に通知を行い、2011年第3四半期に修正を完了したものは86件(累計3,596件)でした。修正完了した86件の内訳は、ウェブアプリケーションを修正したものが73件(85%)、当該ページを削除したものが13件(15%)でした。なお、修正完了した86件のうち55件(64%)は、届出から修正完了まで1年以上経過していました。ウェブサイト運営者による、速やかな対策実施を期待します。
| 分類 | 今期件数 | 累計件数 |
|---|---|---|
| ソフトウェア製品 | 29 件 | 545 件 |
| ウェブサイト | 86 件 | 3,596 件 |
| 合計 | 115 件 | 4,141 件 |
3. 届出された脆弱性関連情報における連絡不能な製品開発者の一覧を公表
〜製品開発者との調整が滞っている脆弱性関連情報の対策実施を促進〜
IPAとJPCERT/CCは、2011年3月に公開した「情報セキュリティ早期警戒パートナーシップガイドライン- 2010年版 -(*3)」にて定めた手続きに基づき、2011年9月29日に連絡不能開発者50件を掲載した「連絡不能開発者一覧」を公表しました。
これにより、製品開発者および製品の関係者からの情報提供を求めていることの周知を図り、連絡が取れずに調整が滞っていた製品開発者に、届出されたソフトウェア製品の脆弱性対策の実施を促します。
今回の公表までの手続きにおいて、「連絡が取れない開発者名一覧の公表」の予告を伴ったJPCERT/CCからの連絡により、これまで応答がなかった18の製品開発者から応答があり、調整に着手または調整の再開ができました。また、一覧の公表後すぐ、1者と連絡が取れ、それらの調整に着手または調整を再開することができました。
IPA、JPCERT/CCは、今後もこの取り組みを進めるとともに、製品開発者に対しては、連絡不能とならないよう、脆弱性が発見された際の連絡先の明示および連絡体制の確立についての協力を期待します。
4. 脆弱性関連情報を届出する発見者の傾向
〜届出する発見者が所属する組織の傾向が変化してきています〜
2011年になり、脆弱性関連情報を届け出た発見者が所属している組織の傾向が変化してきています。図6は、過去3年間の脆弱性関連情報を届け出た発見者が所属している組織の割合を示しています(発見者の自己申告情報から集計)。2009年においては、所属している組織が「個人」74%、「企業」25%、「団体」1%、2010年においては、「個人」50%、「企業」48%、「団体」1%、「教育・学術機関」1%であり、2009年、2010年においては、「企業」と「個人」による届出が9割以上を占めていました。
しかし、2011年(9月末時点)においては、所属している組織が個人31%、企業21%、「教育・学術機関」48%となっており、「教育・学術機関」である「大学院、大学」および「高等学校」、「専門学校」からの届出が半数を占めています。
本届出制度は、「情報セキュリティ早期警戒パートナーシップ」に賛同する関係者の協力のもと運営しており、これからもより広範な組織に対して本届出制度への理解・協力を得られるよう注力し、本届出制度の実効性を高め、より安心してソフトウェア製品、ウェブサイトを利用できる情報社会の確立に寄与していきます。
脚注
(*1)1就業日あたりの届出件数は、「累計届出件数」/「届出受付開始からの就業日数」にて算出
(*2)Japan Vulnerability Notes:脆弱性対策情報ポータルサイト。国内で利用されている製品の脆弱性対策情報を公表し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/
(*3)「情報システム等の脆弱性情報の取扱いに関する研究会」2010年度報告書
http://www.ipa.go.jp/security/fy22/reports/vuln_handling/index.html
参考情報
本件に関するお問い合わせ先
IPA セキュリティセンター 渡辺/大森
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: 
JPCERT/CC 情報流通対策グループ 古田
Tel: 03-3518-4600 Fax: 03-3518-4602
E-mail: 
更新履歴
| 2011年10月21日 | 掲載 |
|---|