ソフトウェア脆弱性の届け出件数、過去最高だった前四半期から大きく減少 - IPA

今四半期において、ソフトウェア製品に関する脆弱性の届け出が前四半期と比較し、大幅に減少したことが情報処理推進機構とJPCERT コーディネーションセンターのまとめによりわかった。ウェブサイトについては微増となっている。

2007年第1四半期にIPAへ届けられた脆弱性関連情報の状況をまとめたもの。IPAでは脆弱性関連情報の届け出について受け付け、JPCERT/CCが国内の製品開発者などの関連組織との調整を行っている。

今四半期のソフトウェア製品に関する脆弱性の届け出は36件。2006年は件数の増減が激しい年となり、第4四半期には123件と大幅に増加、過去最高を記録したが、今四半期では再び40件以下に落ち着いた。

またIPAでは今四半期から、共通脆弱性評価システム「CVSS」を用いた脆弱性の深刻度評価を開始しており、算出した深刻度を「レベルI（注意）」、「レベルII（警告）」、「レベルIII（危険）」に分類している。

届け出を受けた脆弱性のうち、もっとも深刻度の高いレベルIIIは、ショッピングサイト構築ソフト「ショッピングバスケットプロ v７」におけるOSコマンドインジェクションの脆弱性1件。レベルIIは2件で、いずれもRSS情報を取り扱う製品だった。2004年から今四半期末までの累積状況は、公表された脆弱性170件のうち、レベルIIIとなったのは18件と約1割で、レベルIIが7件、レベルIが145件だった。

ウェブサイトに関する脆弱性情報の届出件数は95件で、「クロスサイトスクリプティング」と「SQLインジェクション」が依然として多く、全体の7割弱を占めている。脆弱性によりさらされる脅威としては、「偽情報の表示」と「データの改ざん、消去」が全体の約半数を占め、情報漏洩についても10％に及んだ。

（Security NEXT - 2007/04/20 ） ツイート

PR

関連記事

メール誤送信でファンクラブ会員のメアド流出 - クリアソン新宿
新「NOTICE」がスタート、脆弱性ある機器も注意喚起対象に
サイトで閲覧障害、影響や詳細を調査 - メディキット
緊急連絡用職員名簿をポーチごと紛失、翌日回収 - 江戸川区
指導要録の紛失判明、過去に緊急点検するも見落とし - 杉並区
複数フォームで設定ミス、入力情報が閲覧できる状態に - Acompany
スポーツ用品販売のヒマラヤ公式Xが乗っ取り被害 - なりすましDMに注意
UTM設置時のテストアカウントが未削除、ランサム感染の原因に
カンファレンスイベント「CODE BLUE 2024」、講演者募集を開始
「Ruby」に3件の脆弱性、アップデートで修正を実施