掲載日 2011年1月25日
独立行政法人 情報処理推進機構
セキュリティセンター
2010年第4四半期 ソフトウェア等の脆弱性関連情報に関する届出状況
1. 脆弱性関連情報の届出状況
~脆弱性の届出件数の累計が6,483件になりました~
表1は2010年第4四半期のIPAへの脆弱性関連情報の届出件数および届出開始(2004年7月8日)から今四半期までの累計件数を示しています。今期の届出件数はソフトウェア製品に関するもの20件、ウェブアプリケーション(ウェブサイト)に関するもの47件、合計67件でした。届出受付開始からの累計件数は、ソフトウェア製品に関するもの1,145件、ウェブサイトに関するもの5,338件、合計6,483件となりました。ウェブサイトに関する届出が全体の82%を占めています。
図1のグラフは過去3年間の届出件数の四半期別推移を示したものです。今四半期はソフトウェア製品とウェブサイトの届出が共に減少しています。表2は過去3年間の四半期別の累計届出件数および1就業日あたりの届出件数の推移です。1就業日あたりの届出件数は2010年第4四半期末で4.11件となりました。
| 分類 | 届出件数 | 累計件数 |
|---|---|---|
| ソフトウェア製品 | 20 件 | 1,145 件 |
| ウェブサイト | 47 件 | 5,338 件 |
| 合計 | 67 件 | 6,483 件 |
| 2008 | 2009 | 2010 | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 1Q | 2Q | 3Q | 4Q | 1Q | 2Q | 3Q | 4Q | 1Q | 2Q | 3Q | 4Q | |
| 累計届出件数[件] | 2,045 | 2,342 | 2,885 | 4,375 | 5,227 | 5,656 | 5,826 | 5,977 | 6,148 | 6,302 | 6,417 | 6,483 |
| 1就業日あたり [件/日] |
2.24 | 2.38 | 2.79 | 4.00 | 4.53 | 4.66 | 4.56 | 4.47 | 4.40 | 4.33 | 4.22 | 4.11 |
図2のグラフは今四半期に届出されたソフトウェア製品20件のうち、不受理を除いた19件の製品種類別の内訳を、図3は脆弱性の脅威の内訳を示したものです。製品の種類は「ウェブアプリケーションソフト」が最も多く、次いで「ウェブブラウザ」、「ファイル管理ソフト」となっています。脆弱性の脅威は「情報漏洩」、「任意のコード実行」、「任意のスクリプトの実行」が多く届出されており、これらの届出で全体の6割強を占めています。
図4のグラフは今四半期に届出されたウェブサイト47件のうち、不受理を除いた45件のウェブサイト運営主体別の内訳を、図5は脆弱性の種類の内訳を示したものです。運営主体は企業(「企業(株式・非上場)」および「企業(株式・上場)」)が全体の7割を占めています。また、脆弱性の種類は「クロスサイト・スクリプティング」が最も多く、次いで「セッション管理の不備」、「ファイルの誤った公開」となっています。
2. 脆弱性の修正完了状況
~ソフトウェア製品の修正件数が、前四半期の3倍強にあたる30件を突破しました~
表3は2010年第4四半期のソフトウェア製品とウェブサイトの修正完了件数および届出開始から今四半期までの累計件数を示しています。
ソフトウェア製品の脆弱性の届出に関して、JPCERT/CCが調整を行い、製品開発者が修正を完了し、 2010年第4四半期にJVN(*1)で対策情報を公表したものは31件(累計466件)です。2004年7月の届出受付開始以降、過去最多の公表件数となりました。JVNで公表した31件のうち、任意のDLL/実行ファイル読み込みに関する脆弱性対策情報が14件あり、公表した全件数の約45%を占めています。この14件の製品の種類は、ファイル管理ソフト(圧縮・解凍ソフト)が7件(50%)、テキストエディタが5件(36%)、ウェブブラウザが2件(14%)となっています(別紙2 表1-2参照)。本脆弱性は、外部DLLもしくは実行ファイルを呼び出す機能を持ったソフトウェアに内在している可能性があります。製品開発者は、開発しているソフトウェアにおいて本脆弱性の有無を確認し、存在する場合は修正してください。
ウェブサイトの脆弱性の届出に関して、IPAがウェブサイト運営者に通知を行い、 2010年第4四半期に修正を完了したものは133件(累計3,342件)でした。修正完了した133件の内訳は、ウェブサイト運営者がウェブサイトを修正したものが107件(80%)、当該ページを削除したものが26件(20%)でした。なお、修正完了した133件のうち約半数(56%)は、届出されてから修正完了まで1年以上経過していました。ウェブサイトの脆弱性の通知を受けたウェブサイト運営者は、速やかに対策をしてください。
| 分類 | 今期件数 | 累計件数 |
|---|---|---|
| ソフトウェア製品 | 31 件 | 466 件 |
| ウェブサイト | 133 件 | 3,342 件 |
| 合計 | 164 件 | 3,808 件 |
3. ソフトウェア製品の脆弱性に関するトピック
~製品開発者から届出された脆弱性対策情報の公表が過去最多の14件となりました~
図6のグラフは製品開発者からの届出(自社製品の届出)件数の年別推移を示したものです。2010年の製品開発者からの届出は13件であり、2010年12月末の時点での累計件数は、69件となりました。ソフトウェア製品の届出件数全体と比較すると製品開発者からの届出件数の割合は少ないですが、2009年は8件の届出のうち7件がJVN公表され、2010年は届出された13件全てがJVN公表されました。
図7のグラフは届出者別のJVN公表件数の年別推移を示したものです。2010年の1年間にソフトウェア製品の届出に関してJVN公表を行った件数は66件でした。内訳は、製品開発者以外(一般利用者など)から届出されたものが52件(79%)、製品開発者から届出されたものが14件(21%)であり、製品開発者からの届出によるJVN公表が過去最多となりました。
これら製品開発者からの届出によるJVN公表件数の増加の要因は、本脆弱性届出制度を活用しJVN公表することによる有効性が製品開発者に認知されてきている点と、本届出制度の受付機関であるIPA、調整機関であるJPCERT/CCと、製品開発者の調整が円滑に行われている点であると思われます。
本届出制度は、ソフトウェア製品の利用者に広く脆弱性対策情報を公表するために有効な手段として利用されています。製品開発者には、今後も、「自社製品に関する脆弱性関連情報の届出」を積極的に行うことを期待します。
4. ウェブサイトの脆弱性に関するトピック
~取扱い中の届出の約半数(218件)は届出されてから2年以上経過しています~
ウェブサイトの脆弱性の届出に関して、IPAがウェブサイト運営者に通知を行い、2010年12月末までに修正が完了したものが、3,300件に達しました。
図8のグラフは取扱中件数の四半期別推移を、図9は届出年別の取扱中件数を示したものです。取扱い中の件数自体は減少傾向にあり、2010年12月末の時点で取扱い中の届出は435件となっています。一方で、現在取扱い中の届出の約半数(218件)は届出されてから2年以上経過しており、脆弱性が長期間放置されています。
図10のグラフは2年以上経過した届出の脆弱性の種類別内訳を示したものです。クロスサイト・スクリプティングが111件(51%)、SQLインジェクションが64件(29%)、ファイルの誤った公開が22件(10%)などとなり、深刻度が高い脆弱性であるSQLインジェクションの届出も長期間放置されています。
ウェブサイト運営者は、IPAから通知された脆弱性について早急に対応を行った上で、届出以外の箇所にも脆弱性が無いかを定期的に診断する等、ウェブサイトの安全性向上に努めてください。既に、通知された脆弱性への対応が済んでいる場合は、IPAにその旨を連絡してください。
脚注
(*1)Japan Vulnerability Notes:脆弱性対策情報ポータルサイト。国内で利用されている製品の脆弱性対策情報を公表し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/
参考情報
本件に関するお問い合わせ先
IPA セキュリティセンター 渡辺/大森
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: 
JPCERT/CC 情報流通対策グループ 古田
Tel: 03-3518-4600 Fax: 03-3518-4602
E-mail: 
更新履歴
| 2011年1月25日 | 掲載 |
|---|
