2012年第3四半期 ソフトウェア等の脆弱性関連情報に関する届出状況

1. 脆弱性関連情報の届出状況

　〜脆弱性の届出件数の累計が7,950件になりました〜

　表1は2012年第3四半期のIPAへの脆弱性関連情報の届出件数および届出受付開始（2004年7月8日）から今四半期までの累計件数を示しています。今期の届出件数はソフトウェア製品に関するもの40件、ウェブサイト（ウェブアプリケーション）に関するもの157件、合計197件でした。届出受付開始からの累計件数は、ソフトウェア製品に関するもの1,424件、ウェブサイトに関するもの6,526件、合計7,950件となりました。ウェブサイトに関する届出が全体の82%を占めています。

　図1のグラフは過去3年間の届出件数の四半期別推移を示したものです。今四半期のソフトウェア製品の届出は前四半期と比較して微減となり、ウェブサイトに関する届出は前四半期よりも増加しています。表2は過去3年間の四半期別の累計届出件数および1就業日あたりの届出件数の推移です。1就業日あたりの届出件数は2012年第3四半期末で3.96^(*1)件となりました。

表1．届出件数

分類	今期件数	累計件数
ソフトウェア製品	40 件	1,424 件
ウェブサイト	157 件	6,526 件
合計	197 件	7,950 件

表2．届出件数（過去3年間）

	2009	2010				2011				2012
	4Q	1Q	2Q	3Q	4Q	1Q	2Q	3Q	4Q	1Q	2Q	3Q
累計届出件数 [件]	5,975	6,146	6,300	6,414	6,481	6,569	6,652	6,887	7,314	7,583	7,752	7,950
1就業日あたり [件/日]	4.47	4.40	4.32	4.22	4.10	4.01	3.92	3.91	4.02	4.03	3.99	3.96

　図2のグラフは今四半期に届出されたソフトウェア製品の届出40件のうち、不受理を除いた37件の製品種類の内訳を、図3はソフトウェア製品の脆弱性が悪用された場合に生じる脅威の内訳を示したものです。製品種類で分類すると「ウェブアプリケーションソフト^(*2)」が最も多く、次いで「グループウェア」と「ウェブブラウザ」となっています。脅威別に分類すると「任意のスクリプトの実行」が最も多く、次いで「情報の漏洩」、「任意のファイルへのアクセス」となっています。

　図4のグラフは今四半期に届出されたウェブサイトの届出157件のうち、不受理を除いた156件のウェブサイト運営主体の内訳を、図5は脆弱性の種類の内訳を示したものです。運営主体は「企業」が全体の74%を占めています。また、脆弱性の種類は前四半期と同様に「クロスサイト・スクリプティング」が最も多く、全体の88%を占めています。

2. 脆弱性の修正完了状況

　〜ソフトウェア製品およびウェブサイトの修正件数が5,000件を突破しました〜

　表3は2012年第3四半期のソフトウェア製品とウェブサイトの修正完了件数および届出受付開始から今四半期までの累計件数を示しています。

　ソフトウェア製品の脆弱性の届出のうち、JPCERT/CCが調整を行い、製品開発者が修正を完了し、2012年第3四半期にJVNで対策情報を公表したものは28件^(*3)（累計667件）でした。2010年第4四半期以降は修正完了件数が30件前後で推移しています。

　今四半期に対策情報を公表した28件のうち、届出を受理してから公表までに45日以上経過した届出は15件でした。IPAおよびJPCERT/CCは、届出された脆弱性への対策および製品利用者に対する脆弱性対策情報の公表への協力を引き続き製品開発者に期待します。

　ウェブサイトの脆弱性関連情報の届出のうち、IPAがウェブサイト運営者に通知を行い、 2012年第3四半期に修正を完了したものは171件（累計4,436件）でした。修正を完了した171件の対策内容の内訳は、ウェブアプリケーションを修正したものが145件（85%）、当該ページを削除したものが25件（14%）、運用で回避したものが1件（1%）でした。なお、修正を完了した171件のうち73件（43%）は、届出から修正完了まで90日以上経過していました。IPAはウェブサイト運営者による、速やかな対策実施を期待します。

表3. 修正完了件数

分類	今期件数	累計件数
ソフトウェア製品	28 件	667 件
ウェブサイト	171 件	4,436 件
合計	199 件	5,103 件

3. ソフトウェア製品の脆弱性関連情報に関する届出の傾向

　〜スマホ関連製品の脆弱性対策情報の公表が急増〜

　スマートフォン（以降「スマホ」と記載）の普及に伴い、スマホ用OSやアプリ等のスマホ関連製品に対する脆弱性関連情報が2011年第3四半期頃からIPAに届出されるようになり、以降、継続して届出されています。過去1年間のソフトウェア製品の届出におけるスマホ関連製品の届出の割合を図6に示します。スマホ関連製品の届出は増減しながら推移し、ソフトウェア製品全体の3割前後を占めています。

　過去1年間における脆弱性対策情報をJVNで公表したソフトウェア製品のうち、スマホ関連製品の届出の割合について、四半期別推移を図7に示します。スマホ関連製品の脆弱性対策情報の公表は、2011年第4四半期から2012年第2四半期までは微増しつつも15％以下程度でしたが、2012年第3四半期は54％（15件）となり、前半期と比較してスマホ関連製品の割合が急増しています。公表した15件のうち5件は、製品開発者による自社製品の届出でした。

　スマホ関連のJVN公表が急増した要因の一つとして、スマホ関連製品における脆弱性について様々な機関からの情報発信がなされた結果、スマホ関連製品における作りこまれ易い脆弱性が徐々に製品開発者に認知されてきていると推測します。

　スマホ関連の製品開発者に対して、脆弱性を作り込まないために開発工程から脆弱性対策を行うと共に、リリース後はスマホ関連の脆弱性情報を収集し、迅速に対応されることを求めます。スマホアプリの脆弱性対策の参考資料としては、当センター発表の「『Androidアプリの脆弱性』に関するレポート」^(*4)が挙げられます。また、スマホユーザに対しては、自身が利用しているスマホ関連製品（スマホ用OSやアプリ等）の脆弱性対策（バージョンアップなど）を心掛けられることを望みます。

4. ウェブサイトの脆弱性関連情報に関する届出の傾向

　〜DOMベースのクロスサイト・スクリプティングの脆弱性〜

　IPAへ届出されたウェブサイトの脆弱性の多くを、クロスサイト・スクリプティングが占めており、そのほとんどが反射型クロスサイト・スクリプティング （非持続的）です。一方で、2012年第3四半期においては、ウェブサイトにおけるクロスサイト・スクリプティングの脆弱性の届出138件(88％)のうち、届出に占める割合は少ないものの19件(14％)がDOMベースのクロスサイト・スクリプティングでした（図8）。

　クロスサイト・スクリプティングの脆弱性は、主に3つの種類があります^(*5)。

• 反射型クロスサイト・スクリプティング （非持続的）
• 格納型クロスサイト・スクリプティング （持続的）
• DOMベースのクロスサイト・スクリプティング^(*6)

　2012年第3四半期にIPAへ届出されたウェブサイトにおけるDOMベースのクロスサイト・スクリプティングのほとんどは、ウェブサイト構築事業者が独自で作成したJavaScriptライブラリ（以降、「ライブラリ」と記載)にクロスサイト・スクリプティングの脆弱性が存在していたため、同じライブラリを用いて作成した複数のウェブサイトにおいて同じ脆弱性が作り込まれていました。

　JavaScriptによる複雑なHTML操作（DOM操作）を行うようなウェブサイトにおいては、ライブラリを使用することが多く、脆弱性のあるライブラリを使用することで、ウェブサイトの脆弱性に繋がる場合があります。

　ウェブサイト構築事業者およびウェブサイト運営者に対し、脆弱性対策の施された安全なライブラリの使用に努めると共に脆弱性診断等によりミドルウェアやライブラリ等を含めたウェブサイト全体の脆弱性対策に努めることが重要です。

脚注

(*1)1就業日あたりの届出件数は、「累計届出件数」/「届出受付開始からの就業日数」にて算出

(*2)ウェブサーバ側で動作し、サービスを提供するソフトウェア（ブログ、掲示板等）

(*3)別紙2表1-3参照

(*4)IPA テクニカルウォッチ 『Androidアプリの脆弱性』に関するレポート
http://www.ipa.go.jp/about/technicalwatch/20120613.html

(*5)CWE-79 Weakness ID:79(Weakness Base) クロスサイト・スクリプティング
http://jvndb.jvn.jp/ja/cwe/CWE-79.html

(*6)JavaScriptによってウェブブラウザ上で動的にHTMLを操作する箇所に存在する、クロスサイト・スクリプティングの脆弱性を指します。

資料のダウンロード

参考情報

本件に関するお問い合わせ先

更新履歴