ソフトウェア等の脆弱性関連情報に関する届出状況
[2011年第4四半期(10月〜12月)]
掲載日 2012年1月26日
独立行政法人 情報処理推進機構
セキュリティセンター
2011年第4四半期 ソフトウェア等の脆弱性関連情報に関する届出状況
1. 脆弱性関連情報の届出状況
〜脆弱性の届出件数の累計が7,310件になりました〜
表1は2011年第4四半期のIPAへの脆弱性関連情報の届出件数および届出受付開始(2004年7月8日)から今四半期までの累計件数を示しています。今期の届出件数はソフトウェア製品に関するもの46件、ウェブサイト(ウェブアプリケーション)に関するもの381件、合計427件でした。届出受付開始からの累計件数は、ソフトウェア製品に関するもの1,285件、ウェブサイトに関するもの6,025件、合計7,310件となりました。ウェブサイトに関する届出が全体の82%を占めています。
図1のグラフは過去3年間の届出件数の四半期別推移を示したものです。今四半期のソフトウェア製品の届出は前四半期と比較して微増となり、ウェブサイトの届出は前四半期の約2倍となっています。表2は過去3年間の四半期別の累計届出件数および1就業日あたりの届出件数の推移です。1就業日あたりの届出件数は2011年第4四半期末で4.01(*1)件となりました。
| 分類 | 今期件数 | 累計件数 |
|---|---|---|
| ソフトウェア製品 | 46 件 | 1,285 件 |
| ウェブサイト | 381 件 | 6,025 件 |
| 合計 | 427 件 | 7,310 件 |
| 2009 | 2010 | 2011 | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 1Q | 2Q | 3Q | 4Q | 1Q | 2Q | 3Q | 4Q | 1Q | 2Q | 3Q | 4Q | |
| 累計届出件数 [件] |
5,224 | 5,653 | 5,823 | 5,974 | 6,145 | 6,299 | 6,413 | 6,480 | 6,568 | 6,651 | 6,883 | 7,310 |
| 1就業日あたり [件/日] |
4.53 | 4.65 | 4.56 | 4.47 | 4.40 | 4.32 | 4.22 | 4.10 | 4.00 | 3.91 | 3.90 | 4.01 |
図2のグラフは今四半期に届出されたソフトウェア製品の脆弱性関連情報46件のうち、不受理を除いた45件の製品種類の内訳を、図3は脆弱性がもたらす脅威の内訳を示したものです。製品の種類は「ウェブブラウザ」が最も多く、次いで「ウェブアプリケーションソフト(*2)」と「ルータ」となっています。脆弱性がもたらす脅威は「任意のファイルへのアクセス」、「任意のスクリプトの実行」、「情報の漏洩」が多く届出されており、これらの届出で全体の64%を占めています。
図4のグラフは今四半期に届出されたウェブサイトの脆弱性関連情報381件のうち、不受理を除いた379件のウェブサイト運営主体の内訳を、図5は脆弱性の種類の内訳を示したものです。運営主体は「企業」が全体の78%を占めています。また、脆弱性の種類は前四半期と同様に「クロスサイト・スクリプティング」が最も多く、全体の96%を占めています。
2. 脆弱性の修正完了状況
〜ソフトウェア製品およびウェブサイトの修正件数が4,400件を突破しました〜
表3は2011年第4四半期のソフトウェア製品とウェブサイトの修正完了件数および届出受付開始から今四半期までの累計件数を示しています。
ソフトウェア製品の脆弱性の届出に関して、JPCERT/CCが調整を行い、製品開発者が修正を完了し、 2011年第4四半期にJVNで対策情報を公表したものは35件(累計580件)でした。2010年第4四半期以降は公表件数が30件前後で推移しています。JVNで公表した35件の脆弱性対策情報について、脆弱性の種類は「クロスサイト・スクリプティング」が15件と最も多く、次いで「サービス運用妨害」が4件です(別紙2 表1-3参照)。
今四半期に対策情報を公表した35件のうち、届出を受理してから45日以内に公表した届出は5件でした。IPAおよびJPCERT/CCは、製品開発者に速やかな対策およびJVNで脆弱性対策情報を公表するための協力を期待します。
ウェブサイトの脆弱性関連情報の届出に関して、IPAがウェブサイト運営者に通知を行い、2011年第4四半期に修正を完了したものは259件(累計3,855件)でした。修正を完了した259件の対策内容の内訳は、ウェブアプリケーションを修正したものが244件(94%)、当該ページを削除したものが15件(6%)でした。なお、修正を完了した259件のうち55件(64%)は、届出から修正完了まで1年以上経過していました。ウェブサイト運営者による、速やかな対策実施を期待します。
| 分類 | 今期件数 | 累計件数 |
|---|---|---|
| ソフトウェア製品 | 35 件 | 580 件 |
| ウェブサイト | 259 件 | 3,855 件 |
| 合計 | 294 件 | 4,435 件 |
3. ソフトウェア製品の脆弱性関連情報に関する届出の傾向
〜スマートフォンに関連する届出が増加傾向〜
2011年のソフトウェア製品に関する脆弱性関連情報の届出について、届出されるソフトウェア製品の傾向が変化してきています。図6は、2011年のソフトウェア製品の届出全体のうち、スマートフォン関連の届出が占める割合を示しています。2011年においては、全体の22%がスマートフォン関連の届出でした。図7は、2011年のソフトウェア製品(OSおよびアプリケーション)の届出について、スマートフォンに関連するものの割合を四半期ごとに示しています。2011年第1四半期、第2四半期においては、スマートフォンに関連したソフトウェア製品の届出の割合は10%未満でしたが、第3四半期は約30%、第4四半期は約40%と急増しています。
スマートフォンに関連するソフトウェア製品の開発者には、脆弱性が発見された際の速やかな対応を期待します。
4. ウェブサイトの脆弱性関連情報に関する届出の傾向
〜見落としやすい「クロスサイト・スクリプティング」の脆弱性対策〜
2011年のウェブサイトに関する脆弱性関連情報の届出について、「クロスサイト・スクリプティング」の件数が619件となり、全体の91%を占めました。
図8は、ウェブサイトに関する脆弱性の届出(不受理を除く)のうち、2010年と2011年の脆弱性の種類が「クロスサイト・スクリプティング」の件数を示したものです。2011年は「クロスサイト・スクリプティング」の届出が急増し、「その他」の脆弱性の届出は減少しています。
図9は2011年に届出のあった「クロスサイト・スクリプティング」の脆弱性について、問題箇所の割合を示したものです。テキスト欄のようなブラウザから直接文字列を入力できる箇所(*3)に脆弱性が存在する割合は66%、チェック項目欄や隠し要素のようなブラウザからは直接文字列を入力できない箇所(*4)は34%でした。
直接入力ができない箇所に脆弱性が確認されたウェブサイト34%(213件)のうちの5%(32件)分は、過去にも同じ「クロスサイト・スクリプティング」の届出があったウェブサイトでした。過去に届出があった箇所以外について、脆弱性の見直し作業が不十分であったため、再度別の箇所に脆弱性が確認されたものと推測されます。
「クロスサイト・スクリプティング」の脆弱性対策については、テキスト欄のようなブラウザから文字列を直接入力できる箇所の対策だけではなく、チェック項目欄や隠し要素のようなブラウザから文字列を直接入力できない箇所の対策も必要です。
ウェブサイト運営者が「クロスサイト・スクリプティング」の脆弱性対策を実施する際は、ブラウザから文字列を直接入力できない箇所への対策が取られているかを確認してください。
また、届出で指摘された箇所以外にも脆弱性がないか、全体的な見直しを行ってください。
脚注
(*1)1就業日あたりの届出件数は、「累計届出件数」/「届出受付開始からの就業日数」にて算出
(*2)製品として提供されているソフトウェア(ウェブサーバ、ウェブアプリケーションサーバ等)
(*4)type属性値が「hidden」や「checkbox」であるinput要素等
参考情報
本件に関するお問い合わせ先
IPA セキュリティセンター 渡辺/大森
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: 
JPCERT/CC 情報流通対策グループ 古田
Tel: 03-3518-4600 Fax: 03-3518-4602
E-mail: 
更新履歴
| 2012年1月26日 | 掲載 |
|---|