- 以下は、「ソフトウェア等の脆弱性関連情報に関する届出状況」1章の抜粋です。
1. ソフトウェア等の脆弱性に関する取扱状況(概要)
1-1. 脆弱性関連情報の届出状況
~脆弱性の届出件数の累計は13,998件~
表1-1は情報セキュリティ早期警戒パートナーシップ(*1)(以降「本制度」)における本四半期の脆弱性関連情報の届出件数、および届出受付開始(2004年7月8日)から本四半期末までの累計を示しています。本四半期のソフトウェア製品に関する届出件数は114件、ウェブアプリケーション(以降「ウェブサイト」)に関する届出は63件、合計177件でした。届出受付開始からの累計は13,998件で、内訳はソフトウェア製品に関するもの4,169件、ウェブサイトに関するもの9,829件でウェブサイトに関する届出が全体の約7割を占めています。
図1-1は過去3年間の届出件数の四半期ごとの推移を示したものです。本四半期は、ウェブサイトよりもソフトウェア製品に関して多くの届出がありました。表1-2は過去3年間の四半期ごとの届出の累計および1就業日あたりの届出件数の推移です。本四半期末までの1就業日あたりの届出件数は4.03件(*2)でした。
| 分類 | 本四半期件数 | 累計 |
|---|---|---|
| ソフトウェア製品 | 114 件 | 4,169 件 |
| ウェブサイト | 63 件 | 9,829 件 |
| 合計 | 177 件 | 13,998 件 |
| 2015 | 2016 | 2017 | 2018 | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 4Q | 1Q | 2Q | 3Q | 4Q | 1Q | 2Q | 3Q | 4Q | 1Q | 2Q | 3Q | |
| 累計届出件数 [件] |
11,506 | 11,691 | 12,443 | 12,676 | 12,921 | 13,063 | 13,334 | 13,455 | 13,525 | 13,663 | 13,821 | 13,998 |
| 1就業日あたり [件/日] |
4.11 | 4.09 | 4.26 | 4.25 | 4.25 | 4.21 | 4.21 | 4.17 | 4.11 | 4.08 | 4.06 | 4.03 |
1.2. 脆弱性の修正完了状況
~ソフトウェア製品およびウェブサイトの修正件数は累計9,170件~
表1-3は本四半期、および届出受付開始から本四半期末までのソフトウェア製品とウェブサイトの修正完了件数を示しています。ソフトウェア製品の場合、修正が完了するとJVNに公表しています(回避策の公表のみでプログラムの修正をしていない場合を含む)。
本四半期にJVN公表したソフトウェア製品の件数は61件(*3)(累計1,872件)でした。そのうち、4件は製品開発者による自社製品の脆弱性の届出でした。なお、届出を受理してからJVN公表までの日数が45日以内のものは14件(23%)でした。また、JVN公表前に重要インフラ事業者へ脆弱性対策情報を優先提供したのは、1件(累計1件)でした(*4)。
修正完了したウェブサイトの件数は105件(累計7,298件)でした。修正を完了した105件のうち、ウェブアプリケーションを修正したものは54件(51%)、当該ページを削除したものは50件(48%)で、運用で回避したものは1件(1%)でした。なお、修正を完了した105件のうち、ウェブサイト運営者へ脆弱性関連情報を通知してから90日(*5)以内に修正が完了したものは33件(31%)でした。本四半期は、90日以内に修正完了した割合が、前四半期(51件中40件(78%))から減少しました。
| 分類 | 本四半期件数 | 累計 |
|---|---|---|
| ソフトウェア製品 | 61 件 | 1,872 件 |
| ウェブサイト | 105 件 | 7,298 件 |
| 合計 | 166 件 | 9,170 件 |
1.3. 連絡不能案件の取扱状況
本制度では、調整機関から連絡が取れない製品開発者を「連絡不能開発者」と呼び、連絡の糸口を得るため、当該製品開発者名等を公表して情報提供を求めています(*6)。製品開発者名を公表後、3ヶ月経過しても製品開発者から応答が得られない場合は、製品情報(対象製品の具体的な名称およびバージョン)を公表します。それでも応答が得られない場合は、情報提供の期限を追記します。情報提供の期限までに製品開発者から応答がない場合は、当該脆弱性情報の公表に向け、「情報セキュリティ早期警戒パートナーシップガイドライン」に定められた条件を満たしているかを公表判定委員会(*7)で判定します。その判定を踏まえ、IPAが公表すると判定した脆弱性情報はJVNに公表されます。
本四半期は、連絡不能開発者として新たに製品開発者名を公表したものはありませんでした。
本四半期末時点の連絡不能開発者の累計公表件数は251件になります。
脚注
(*1) 情報セキュリティ早期警戒パートナーシップガイドライン
https://www.ipa.go.jp/security/ciadr/partnership_guide.html
https://www.jpcert.or.jp/vh/index.html
(*2) 1就業日あたりの届出件数は、「累計届出件数」/「届出受付開始からの就業日数」にて算出。
(*5) 対処の目安は、ウェブサイト運営者が脆弱性の通知を受けてから、3ヶ月以内としています。
(*6) 連絡不能開発者一覧:
https://jvn.jp/reply/index.html
(*7) 連絡不能案件の脆弱性情報を公表するか否かを判定するためにIPAが組織します。
法律、サイバーセキュリティ、当該ソフトウェア製品分野の専門的な知識や経験を有する専門家、かつ、当該案件と利害関係のない者で構成されています。
資料のダウンロード
参考情報
本件に関するお問い合わせ先
IPA セキュリティセンター 渡辺/板橋
Tel: 03-5978-7527 Fax: 03-5978-7552
E-mail: 
JPCERT/CC 情報流通対策グループ 久保
Tel: 03-6271-8901 Fax: 03-6271-8908
E-mail: 
更新履歴
| 2018年11月28日 | 本件に関するお問い合わせ先を更新 |
|---|---|
| 2018年10月24日 | 掲載 |