掲載日 2007年1月17日
独立行政法人 情報処理推進機構
セキュリティセンター
独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原 武平太)および有限責任中間法人JPCERT コーディネーションセンター(略称:JPCERT/CC、代表理事:歌代 和正)は、今般、2006年第4四半期(10月~12月)の脆弱性関連情報の届出状況をとりまとめました。
1.今四半期の届出件数
(1)今四半期のソフトウェア製品の脆弱性関連情報
- 届出 :122件(届出受付開始からの累計は416件)
- 脆弱性公表:25件(届出受付開始からの累計は142件)
(2)今四半期のウェブアプリケーション(ウェブサイト)の脆弱性関連情報
- 届出 :89件(届出受付開始からの累計は750件)
- 修正完了 :52件(届出受付開始からの累計は403件)
2.今四半期の特徴
今四半期は、ソフトウェア製品に関するもの122件、ウェブサイトに関するもの89件、合計211件の届出があり、ソフトウェア製品に関する届出件数が過去最高を記録しました。
2004年7月8日に脆弱性関連情報の届出受付を開始してから2年6ヶ月が経過し、ソフトウェア製品に関するもの累計416件、ウェブサイトに関するもの累計750件、合計1,166件の届出があり、今四半期で1,000件を突破しました(図1)。
また、ソフトウェア製品に関して脆弱性の対策状況を25件公表しました。この中には、オープンソースソフトウェアに関するものが15件、組込みソフトウェアに関するものが3件ありました。なお、製品開発者自身から自社製品に関する脆弱性対策情報について連絡をうけ公表したものが3件ありました。
ウェブサイトに関してはウェブサイト運営者により脆弱性が修正されたものが52件ありました。このうち9件はIPAが修正を確認しました。
3.ソフトウェア製品の脆弱性の内訳
今四半期に届出が多かったソフトウェア製品について、届出累計416件のうち不受理67件を除いた349件の製品種類別内訳は、ウェブアプリケーションソフトが40%、ウェブブラウザが13%、グループウェアが11%、アプリケーション開発・実行環境が9%、メールソフトが4%などとなっています(図2)。
発見者が届出時に想定した脅威別の内訳の推移は図3のようになっており、今四半期の届出122件のうち不受理14件を除いた108件の内訳は、任意のスクリプトの実行(*1)が69件、なりすましが8件、情報の漏えいが8件、任意のコードの実行が4件などで、任意のスクリプトの実行が特に増加しています(図3)。
IPAでは、届出件数の多い脆弱性を取り上げ、脆弱性の原因そのものをなくす根本的な解決策と、攻撃による影響の低減を期待できる保険的な対策を示した「安全なウェブサイトの作り方 改訂第2版」を2006年11月1日に公表しました。ウェブサイトのセキュリティ問題の解決の一助となれば幸いです。
- 「安全なウェブサイトの作り方 改訂第2版」
http://www.ipa.go.jp/security/vuln/websecurity.html
『用語の解説』
(*1) 任意のスクリプトの実行
攻撃者が意図して作成したスクリプトが実行される脅威。スクリプトは、JavascriptやVBScriptなどで記述され、利用者のウェブブラウザ上で実行されます。
■ソフトウェア等の脆弱性関連情報に関する届出制度について
経済産業省告示に基づき、2004年7月より開始したものです。IPAは脆弱性関連情報の届出受付、JPCERT/CCは国内の製品開発者などの関連組織との調整を行っています。
■届出の詳細については以下のPDFファイルをご参照ください。
お問い合わせ先
独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)
TEL:03-5978-7527 FAX:03-5978-7518
E-mail:
