2007年10月〜12月、ソフトやウェブの脆弱性、修正件数が過去最多に—JPCERT/CCおよびIPA共同発表 | RBB TODAY

2007年10月〜12月、ソフトやウェブの脆弱性、修正件数が過去最多に—JPCERT/CCおよびIPA共同発表

エンタープライズ その他

脆弱性関連情報の届出件数の四半期別推移
  • 脆弱性関連情報の届出件数の四半期別推移
  • 脆弱性の修正完了件数の四半期別推移
  • −脅威別内訳− 【右】ウェブサイトの修正完了
 独立行政法人 情報処理推進機構(IPA)および有限責任中間法人JPCERTコーディネーションセンター(JPCERT/CC)は、18日に共同で、「ソフトウエア等の脆弱性関連情報に関する届出状況 [2007年第4四半期 (10月〜12月)] 」と題する文書を発表した。

 IPAでは、経済産業省告示に基づき、2004年7月より脆弱性の届出制度を開始。IPAが届出受付・分析、JPCERT/CCが国内の製品開発者などの関連組織との調整を行っている。

 今四半期(2007年10月1日から12月31日まで)のトピックとして「情報セキュリティ早期警戒パートナーシップ」による脆弱性の修正完了件数が1,000件に達したことを中心に、ソフトウェアやウェブサイトの脆弱性の届出状況・修正状況が詳細に報告されている。

 まずIPAへの脆弱性関連情報の届出件数は、ソフトウェア製品に関するもの66件、ウェブアプリケーション(ウェブサイト)に関するもの80件、合計146件だった。届出受付開始(2004年7月8日)からの累計は、ソフトウェア製品に関するもの626件、ウェブサイトに関するもの1,123件、合計1,749件で、ウェブサイトに関する届出が全体の3分の2を占めている。1日あたりの届出件数は、平均2.05件となった。届出件数は年々増加しており、脆弱性の届出制度が浸透し、潜在していた脆弱性が顕在化してきているものと同報告では分析している。

 また届出のあったもののうち、脆弱性の修正が完了した件数は、ソフトウェア製品に関するもの31件、ウェブサイトに関するもの93件、合計124件となった。届出受付開始からの累計は、ソフトウェア製品に関するもの254件、ウェブサイトに関するもの748件、合計1,002件となり、ついに1,000件を超えた。また今四半期はソフトウェア製品の修正完了件数、ウェブサイトの修正完了件数ともに、過去最多となった。

 修正が完了した脆弱性について、脆弱性を攻撃された場合に想定される脅威を分析すると、ソフトウェア製品の脆弱性に関しては、「任意のスクリプトの実行」47%、「情報の漏洩」10%、「なりすまし」7%、「任意のコードの実行」6%などとなった。ウェブサイトの脆弱性に関しては、「本物サイトへの偽情報の表示」33%、「データの改ざん、消去」18%、「Cookie情報の漏洩」16%、「個人情報の漏洩」10%などとなった。

 実際にSQLインジェクションによる不正アクセスがあった場合、その復旧に関する費用は1件あたり5000万円〜1億円の推計となっており、ソフトウェア製品開発者やウェブサイト運営者は、脆弱性対策を促進し、その被害を事前に防止することが重要としている。

 2007年第4四半期において、JVNで対策情報を公表した主なソフトウェア製品としては「一太郎シリーズ」「SonicStage CP」「Lhaplus」「AirStation シリーズ」「BroadStation シリーズ」「Webmin」があげられた。一方でウェブサイトの脆弱性については、90日以上も対策が完了していないものが95件になったとのことで、危険を放置している企業やサイトが少なくない現状も浮き彫りとなった。
《冨岡晶》

関連ニュース

特集

page top