ソフトウェア等の脆弱性関連情報に関する届出状況[2022年第3四半期（7月～9月）]

掲載日：2022年10月20日
独立行政法人情報処理推進機構
セキュリティセンター

1. ソフトウェア等の脆弱性に関する取扱状況（概要）

1-1. 脆弱性関連情報の届出状況

脆弱性の届出件数の累計は17,681件

表1-1は情報セキュリティ早期警戒パートナーシップ^脚注1における本四半期の脆弱性関連情報の届出件数、および届出受付開始（2004年7月8日）から本四半期末までの累計を示しています。本四半期のソフトウェア製品に関する届出件数は119件、ウェブアプリケーション（以下、ウェブサイト）に関する届出は96件、合計215件でした。届出受付開始からの累計は17,681件で、内訳はソフトウェア製品に関するもの5,276件、ウェブサイトに関するもの12,405件でウェブサイトに関する届出が全体の約7割を占めています。

図1-1は過去3年間の届出件数の四半期ごとの推移を示したものです。本四半期は、ウェブサイトよりもソフトウェア製品に関して多くの届出がありました。表1-2は過去3年間の四半期ごとの届出の累計および1就業日あたりの届出件数の推移です。本四半期末までの1就業日あたりの届出件数は3.98件^脚注2でした。

表1-1．届出件数
分類	本四半期件数	累計
ソフトウェア製品	119件	5,276件
ウェブサイト	96件	12,405件
合計	215件	17,681件

表1-2．届出件数（過去3年間）
	2019	2020				2021				2022
	4Q	1Q	2Q	3Q	4Q	1Q	2Q	3Q	4Q	1Q	2Q	3Q
累計届出件数（件）	15,227	15,488	15,676	15,922	16,224	16,475	16,778	16,980	17,128	17,301	17,466	17,681
1就業日あたり（件／日）	4.04	4.04	4.03	4.03	4.04	4.04	4.06	4.05	4.02	4.01	3.99	3.98

1-2. 脆弱性の修正完了状況

ソフトウェア製品およびウェブサイトの修正件数は累計10,794件

表1-3は本四半期、および届出受付開始から本四半期末までのソフトウェア製品とウェブサイトの修正完了件数を示しています。ソフトウェア製品の場合、修正が完了すると（回避方法の策定のみでプログラムを修正しない場合を含む）、脆弱性情報や対策方法などをJVNに公表しています。

本四半期にJVN公表したソフトウェア製品の件数は32件（累計2,449件）でした。そのうち、7件は製品開発者による自社製品の脆弱性の届出でした。なお、届出を受理してからJVN公表までの日数が45日以内のものは11件（34%）でした。また、JVN公表前に重要インフラ事業者等へ脆弱性対策情報を優先提供したのは、2件（累計58件）でした。

修正完了したウェブサイトの件数は55件（累計8,345件）でした。修正を完了した55件のうち、ウェブアプリケーションを修正したものは53件（96%）、当該ページを削除したものは2件（4%）で、運用で回避したものは0件（0%）でした。なお、修正を完了した55件のうち、ウェブサイト運営者へ脆弱性関連情報を通知してから90日^脚注3以内に修正が完了したものは49件（89%）でした。

表1-3．修正完了（JVN公表）
分類	本四半期件数	累計
ソフトウェア製品	32件	2,449件
ウェブサイト	55件	8,345件
合計	87件	10,794件

1-3. 連絡不能案件の取扱状況

本制度では、調整機関から連絡が取れない製品開発者を連絡不能開発者と呼び、連絡の糸口を得るため、当該製品開発者名等を公表して情報提供を求めています^脚注4。製品開発者名を公表後、3ヶ月経過しても製品開発者から応答が得られない場合は、製品情報（対象製品の具体的な名称およびバージョン）を公表します。それでも応答が得られない場合は、情報提供の期限を追記します。情報提供の期限までに製品開発者から応答がない場合は、当該脆弱性情報の公表に向け、情報セキュリティ早期警戒パートナーシップガイドラインに定められた条件を満たしているかを公表判定委員会^脚注5で判定します。その判定を踏まえ、IPAが公表すると判定した脆弱性情報はJVNに公表されます。

本四半期は、連絡不能開発者として新たに製品開発者名を公表したものはありませんでした。本四半期末時点の連絡不能開発者の累計公表件数は251件になります。