IPA,ソフトウェア等の脆弱性関連情報に関する届出状況

IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)およびJPCERT/CC(一般社団法人JPCERTコーディネーションセンター、代表理事:歌代 和正)は、 2012年第2四半期(4月~6月)の脆弱性関連情報の届出状況(*1)をまとめました。

概要
(1)脆弱性の届出件数の累計が7,752件に
 2012年第2四半期のIPAへの脆弱性関連情報の届出件数は169件で、内訳はソフトウェア製品に関するものが45件、ウェブサイト(ウェブアプリケーション)に関するものが124件でした。これにより、2004年7月の届出受付開始からの累計は、ソフトウェア製品に関するものが1,383件、ウェブサイトに関するものが6,369件、合計7,752件となりました。

(2)脆弱性の修正完了件数の累計が4,900件を超過
 ソフトウェア製品の脆弱性の届出のうち、JPCERT/CCが調整を行い、製品開発者が修正を完了し、2012年第2四半期にJVN(*2)で対策情報を公表したものは33件(累計639件)でした。また、ウェブサイトの脆弱性の届出のうち、IPAがウェブサイト運営者に通知し、2012年第2四半期に修正を完了したものは192件(累計4,265件)でした。これにより、ソフトウェア製品を含めた脆弱性の修正件数は累計で4,904件となりました。

(3)CMSもしくはCMSプラグインの脆弱性
 2012年第2四半期に受理し取扱したソフトウェア製品の脆弱性の届出において、届出件数(42件のうち9件)および公表件数(33件のうち7件)のそれぞれ21%がCMS(*3) もしくはCMSプラグインの脆弱性でした。

 ウェブサイトの管理に利用されているCMSもしくはCMSのプラグインの脆弱性が悪用されると、ウェブサイトの内容が改ざんまたは、任意のプログラムが実行されるなどの被害が発生する可能性があります。

 ウェブサイト運営者は、ウェブサイトにおいて利用されているソフトウェア製品の脆弱性対策情報を緊密に収集し、適切な脆弱性対策(バージョンアップ等)の実施が必要です。

脚注
(*1)ソフトウェア等脆弱性関連情報取扱基準:経済産業省告示(http://www.meti.go.jp/policy/netsecurity/downloadfiles/vulhandlingG.pdf)に基づき、2004年7月より開始しました。IPAは届出受付・分析、JPCERT/CCは国内の製品開発者などの関連組織との調整を行っています。

(*2) Japan Vulnerability Notes:脆弱性対策情報ポータルサイト。国内で利用されている製品の脆弱性対策情報を公表し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/

(*3)Content Management System:ウェブサイトのコンテンツ(テキストや画像など)を統合的に管理するためのウェブアプリケーションソフト。

IPA
http://www.ipa.go.jp/about/press/20120723_2.html