情報セキュリティ

ソフトウェア等の脆弱性関連情報に関する届出状況[2021年第4四半期(10月〜12月)]

公開日:2022年1月20日

独立行政法人情報処理推進機構
セキュリティセンター

1.ソフトウェア等の脆弱性に関する取扱状況(概要)

1-1.脆弱性関連情報の届出状況

~脆弱性の届出件数の累計は17,139件~

表1-1は情報セキュリティ早期警戒パートナーシップ(*1)における本四半期の脆弱性関連情報の届出件数、および届出受付開始(2004年7月8日)から本四半期末までの累計を示しています。本四半期のソフトウェア製品に関する届出件数は64件、ウェブアプリケーション(以降「ウェブサイト」)に関する届出は89件、合計153件でした。届出受付開始からの累計は17,139件で、内訳はソフトウェア製品に関するもの5,009件、ウェブサイトに関するもの12,130件でウェブサイトに関する届出が全体の約7割を占めています。

図1-1は過去3年間の届出件数の四半期ごとの推移を示したものです。本四半期は、ソフトウェア製品よりもウェブサイトに関して多くの届出がありました。表1-2は過去3年間の四半期ごとの届出の累計および1就業日あたりの届出件数の推移です。本四半期末までの1就業日あたりの届出件数は4.03件(*2)でした。

表1-1.届出件数

ソフトウェア製品

本四半期件数

64件

累計

5,009件

ウェブサイト

本四半期件数

89件

累計

12,130件

合計

本四半期件数

153件

累計

17,139件

  • 図1-1.脆弱性の届出件数の四半期ごとの推移
表1-2.届出件数(過去3年間)

2019

累計届出件数[件]
  • 1Q:14,213
  • 2Q:14,710
  • 3Q:15,055
  • 4Q:15,227
1就業日あたり[件/日]
  • 1Q:3.96
  • 2Q:4.03
  • 3Q:4.06
  • 4Q:4.04

2020

累計届出件数[件]
  • 1Q:15,488
  • 2Q:15,676
  • 3Q:15,922
  • 4Q:16,225
1就業日あたり[件/日]
  • 1Q:4.04
  • 2Q:4.03
  • 3Q:4.03
  • 4Q:4.04

2021

累計届出件数[件]
  • 1Q:16,476
  • 2Q:16,779
  • 3Q:16,986
  • 4Q:17,139
1就業日あたり[件/日]
  • 1Q:4.05
  • 2Q:4.06
  • 3Q:4.05
  • 4Q:4.03

また、図1-2は、届出受付開始から2021年12月末までの届出件数の年ごとの推移です。過去、最も届出が多かった年は、「クロスサイト・スクリプティング」と「DNS情報の設定不備」に関して多くの届出がなされた2008年(2,622件)でした。2021年はソフトウェア製品が309件、ウェブサイトが605件の合計914件でした。ウェブサイトがソフトウェア製品の届出件数を上回り全体の66%を占めています。また昨年と比べて、ソフトウェア製品の届出は増加し、ウェブサイトの届出は減少しました。

  • 図1-2. 脆弱性の届出件数の年ごとの推移

1-2.脆弱性の修正完了状況

~ソフトウェア製品およびウェブサイトの修正件数は累計10,554件~

表1-3は本四半期、および届出受付開始から本四半期末までのソフトウェア製品とウェブサイトの修正完了件数を示しています。ソフトウェア製品の場合、修正が完了すると(回避方法の策定のみでプログラムを修正しない場合を含む)、脆弱性情報や対策方法などをJVNに公表しています。

本四半期にJVN公表したソフトウェア製品の件数は36件(累計2,352件)でした。そのうち、7件は製品開発者による自社製品の脆弱性の届出でした。なお、届出を受理してからJVN公表までの日数が45日以内のものは11件(31%)でした。また、JVN公表前に重要インフラ事業者等へ脆弱性対策情報を優先提供したのは、6件(累計52件)でした。

修正完了したウェブサイトの件数は41件(累計8,202件)でした。修正を完了した41件のうち、ウェブアプリケーションを修正したものは38件(93%)、当該ページを削除したものは3件(7%)で、運用で回避したものは0件(0%)でした。なお、修正を完了した41件のうち、ウェブサイト運営者へ脆弱性関連情報を通知してから90日(*3)以内に修正が完了したものは38件(93%)でした。

また、図1-3は、届出開始から2021年12月末までの修正完了件数の年ごとの推移を示しています。過去、修正を完了した件数が最も多かった年は2009年の1,401件でした。2021年は、ソフトウェア製品が185件、ウェブサイトが208件の合計393件でした。

表1-3.修正完了(JVN公表)

ソフトウェア製品

本四半期件数

36件

累計

2,352件

ウェブサイト

本四半期件数

41件

累計

8,202件

合計

本四半期件数

77件

累計

10,554件

  • 図1-3.脆弱性の修正完了件数の年ごとの推移

1-3.連絡不能案件の取扱状況

本制度では、調整機関から連絡が取れない製品開発者を「連絡不能開発者」と呼び、連絡の糸口を得るため、当該製品開発者名等を公表して情報提供を求めています(*4)。製品開発者名を公表後、3ヶ月経過しても製品開発者から応答が得られない場合は、製品情報(対象製品の具体的な名称およびバージョン)を公表します。それでも応答が得られない場合は、情報提供の期限を追記します。情報提供の期限までに製品開発者から応答がない場合は、当該脆弱性情報の公表に向け、「情報セキュリティ早期警戒パートナーシップガイドライン」に定められた条件を満たしているかを公表判定委員会(*5)で判定します。その判定を踏まえ、IPAが公表すると判定した脆弱性情報はJVNに公表されます。

本四半期は、連絡不能開発者として新たに製品開発者名を公表したものはありませんでした。本四半期末時点の連絡不能開発者の累計公表件数は251件になります。。

脚注

  1. (*1)
  2. (*2)
    1就業日あたりの届出件数は、「累計届出件数」/「届出受付開始からの就業日数」にて算出。
  3. (*3)
    対処の目安は、ウェブサイト運営者が脆弱性の通知を受けてから、3ヶ月以内としています。
  4. (*4)
    連絡不能開発者一覧:
  5. (*5)
    連絡不能案件の脆弱性情報を公表するか否かを判定するためにIPAが組織します。法律、サイバーセキュリティ、当該ソフトウェア製品分野の専門的な知識や経験を有する専門家、かつ、当該案件と利害関係のない者で構成されています。

資料のダウンロード

参考情報

お問い合わせ先

IPA セキュリティセンター 渡辺/板橋

  • TEL

    03-5978-7527

  • FAX

    03-5978-7552

  • E-mail

    vuln-inqアットマークipa.go.jp

JPCERT/CC 早期警戒グループ 椎木/洞田

  • TEL

    03-6271-8901

  • FAX

    03-6271-8908

  • E-mail

    vulturesアットマークjpcert.or.jp

更新履歴

  • 2022年1月20日

    掲載