アーカイブ

  1. トップページ
  2. アーカイブ
  3. 情報セキュリティ
  4. 資料・報告書
  5. 脆弱性対策情報
  6. ソフトウェア等の脆弱性関連情報に関する届出状況
  7. ソフトウェア等の脆弱性関連情報に関する届出状況[2019年第4四半期(10月~12月)]

ソフトウェア等の脆弱性関連情報に関する届出状況[2019年第4四半期(10月~12月)]

掲載日 2020年1月23日
独立行政法人情報処理推進機構
セキュリティセンター

  • 以下は、「ソフトウェア等の脆弱性関連情報に関する届出状況」1章の抜粋です。

1. ソフトウェア等の脆弱性に関する取扱状況(概要)

1-1. 脆弱性関連情報の届出状況

 ~脆弱性の届出件数の累計は15,224件~

 表1-1は情報セキュリティ早期警戒パートナーシップ(*1)における本四半期の脆弱性関連情報の届出件数、および届出受付開始(2004年7月8日)から本四半期末までの累計を示しています。本四半期のソフトウェア製品に関する届出件数は68件、ウェブアプリケーション(以降「ウェブサイト」)に関する届出は104件、合計172件でした。届出受付開始からの累計は15,224件で、内訳はソフトウェア製品に関するもの4,457件、ウェブサイトに関するもの10,767件でウェブサイトに関する届出が全体の約7割を占めています。

 図1-1は過去3年間の届出件数の四半期ごとの推移を示したものです。本四半期は、ソフトウェア製品よりもウェブサイトに関して多くの届出がありました。表1-2は過去3年間の四半期ごとの届出の累計および1就業日あたりの届出件数の推移です。本四半期末までの1就業日あたりの届出件数は4.03(*2)件でした。

表1-1.届出件数
分類 本四半期件数 累計
ソフトウェア製品 68 4,457
ウェブサイト 104 10,767
合計 172 15,224

 

図1-1. 脆弱性の届出件数の四半期ごとの推移

 

表1-2.届出件数(過去3年間)
  2017 2018 2019
1Q 2Q 3Q 4Q 1Q 2Q 3Q 4Q 1Q 2Q 3Q 4Q
累計届出件数
[件]		 13,064 13,335 13,456 13,526 13,664 13,822 13,999 14,090 14,213 14,710 15,052 15,224
1就業日あたり
[件/日]		 4.21 4.21 4.17 4.11 4.08 4.06 4.03 3.99 3.96 4.03 4.06 4.03

 

 また、図1-2は、届出受付開始から2019年12月末までの届出件数の年ごとの推移です。過去、最も届出が多かった年は、2008年(2,622件)でした。2019年はソフトウェア製品が233件、ウェブサイトが901件の合計1,134件でした。ウェブサイトがソフトウェア製品の届出件数を上回り全体の約8割を占めています。またウェブサイトの届出は昨年に比べ3.8倍ほど増加しました。

図1-2.脆弱性の届出件数の年ごとの推移

1-2. 脆弱性の修正完了状況

 ~ソフトウェア製品およびウェブサイトの修正件数は累計9,760件~

 表1-3は本四半期、および届出受付開始から本四半期末までのソフトウェア製品とウェブサイトの修正完了件数を示しています。ソフトウェア製品の場合、修正が完了すると(回避方法の策定のみでプログラムを修正しない場合を含む)、脆弱性情報や対策方法などをJVNに公表しています。

 本四半期にJVN公表したソフトウェア製品の件数は24件(*3)(累計2,034件)でした。そのうち、1件は製品開発者による自社製品の脆弱性の届出でした。なお、届出を受理してからJVN公表までの日数が45日以内のものは5件(21%)でした。また、JVN公表前に重要インフラ事業者へ脆弱性対策情報を優先提供したのは、3件(累計6件)でした(*4)

 修正完了したウェブサイトの件数は94件(累計7,726件)でした。修正を完了した94件のうち、ウェブアプリケーションを修正したものは91件(97%)、当該ページを削除したものは3件(3%)で、運用で回避したものはありませんでした。なお、修正を完了した94件のうち、ウェブサイト運営者へ脆弱性関連情報を通知してから90日(*5)以内に修正が完了したものは89件(95%)でした。本四半期は、90日以内に修正完了した割合が、前四半期(85件中71件(84%))から増加しました。

 また、図1-3は、届出開始から2019年12月末までの修正完了件数の年ごとの推移を示しています。過去、修正を完了した件数が最も多かった年は2009年の1,401件でした。2019年は、ソフトウェア製品が98件、ウェブサイトが380件の合計478件でした。

表1-3.修正完了(JVN公表)
分類 本四半期件数 累計
ソフトウェア製品 24 2,034
ウェブサイト 94 7,726
合計 118 9,760

図1-3.脆弱性の修正完了件数の年ごとの推移

1-3. 連絡不能案件の取扱状況

 本制度では、調整機関から連絡が取れない製品開発者を「連絡不能開発者」と呼び、連絡の糸口を得るため、当該製品開発者名等を公表して情報提供を求めています(*6)。製品開発者名を公表後、3ヶ月経過しても製品開発者から応答が得られない場合は、製品情報(対象製品の具体的な名称およびバージョン)を公表します。それでも応答が得られない場合は、情報提供の期限を追記します。情報提供の期限までに製品開発者から応答がない場合は、当該脆弱性情報の公表に向け、「情報セキュリティ早期警戒パートナーシップガイドライン」に定められた条件を満たしているかを公表判定委員会(*7)で判定します。その判定を踏まえ、IPAが公表すると判定した脆弱性情報はJVNに公表されます。

 本四半期は、連絡不能開発者として新たに製品開発者名を公表したものはありませんでした。
本四半期末時点の連絡不能開発者の累計公表件数は251件になります。

 

脚注

(*1) 情報セキュリティ早期警戒パートナーシップガイドライン
https://www.ipa.go.jp/security/ciadr/partnership_guide.html
https://www.jpcert.or.jp/vh/index.html

(*2) 1就業日あたりの届出件数は、「累計届出件数」/「届出受付開始からの就業日数」にて算出。

(*3) P.8 表2-3 参照

(*4) P.10 2-1-6 参照

(*5) 対処の目安は、ウェブサイト運営者が脆弱性の通知を受けてから、3ヶ月以内としています。

(*6) 連絡不能開発者一覧:
https://jvn.jp/reply/index.html

(*7) 連絡不能案件の脆弱性情報を公表するか否かを判定するためにIPAが組織します。
法律、サイバーセキュリティ、当該ソフトウェア製品分野の専門的な知識や経験を有する専門家、かつ、当該案件と利害関係のない者で構成されています。

資料のダウンロード

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター 渡辺/板橋
Tel: 03-5978-7527 Fax: 03-5978-7552
E-mail: 電話番号:03-5978-7527までお問い合わせください。

JPCERT/CC 早期警戒グループ 椎木/洞田
Tel: 03-6271-8901 Fax: 03-6271-8908
E-mail: 電話番号:03-6271-8901までお問い合わせください。

更新履歴

2020年01月23日 掲載