Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

2013年第2四半期の脆弱性届出状況、ウェブサイトの脆弱性増加傾向に歯止め

情報処理推進機構(IPA)とJPCERTコーディネーションセンターは、2013年第2四半期における脆弱性の届出状況について取りまとめた。

同四半期に届出があった脆弱性関連情報は232件で、前四半期の277件から減少した。内訳はソフトウェア製品の脆弱性が47件、ウェブサイトの脆弱性が185件。いずれも前四半期の64件、213件から後退している。ウェブサイトの脆弱性は、2012年第2四半期以降の増加傾向に歯止めがかかった。

2004年の受付開始からの累計件数は、ソフトウェアが1573件、ウェブサイトが7098件で合計8671件。ウェブサイトが全体の82%を占めている。1就業日あたりの届出件数は3.94件で、前四半期の3.97件からわずかに減少した。

ソフトウェア製品の種類別届出状況を見ると、最多は39%を占めた「ウェブアプリケーションソフト」。次いで「ウェブブラウザ(11%)」「アプリケーション開発、実行環境(7%)」と続き、順位や割合に大きな変動は見られない。スマートフォン向けアプリの脆弱性届出件数は10件で、前期の12件から微減となった。

脆弱性が悪用された場合に生じる脅威では、「任意のスクリプトの実行」が12件と最も多いが、前期の19件から減少している。「情報の漏洩(10件)」「なりすまし(4件)」「任意のコードの実行(3件)」と続く。

脆弱性の公表状況を見ると、国内外の発見者や製品開発者から届出を受けたもの、海外CSIRTなどと連携して公表したものが各37件。国内外の発見者や製品開発者からの届出で、45日以内に公表した件数の割合は33%だった。また、同四半期中にあらたに公表した連絡不能開発者は0件で、累計公表数は106件。

ウェブサイトの脆弱性を見ると、「クロスサイトスクリプティング」が最多で、今四半期までの届出全体に占める割合も54%と半数を超えた。脆弱性がもたらす脅威では「本物サイト上への偽情報の表示(52%)」「ドメイン情報の挿入(19%)」「データの改ざん、消去(12%)」となっている。

ウェブサイトの脆弱性で修正が完了したのは170件で、累計4915件となった。届出から90日以内に修正完了した件数は今期末で3244件となり、割合は66%。2011年第4四半期から変化のない状況が続いている。

(Security NEXT - 2013/07/24 ) このエントリーをはてなブックマークに追加

PR

関連記事

不正サイトのマルウェア拡散、「仮想通貨採掘ツール」にシフト - 相場高騰が後押しか
445番ポートへのパケットを継続して観測、「WannaCrypt」の影響収束せず
2017年3Qの脆弱性届け出は121件 - 前四半期から半減
2017年3Qの脆弱性登録は3695件 - 制御システム関連は99件
金融機関の3割でサイバー攻撃が発生 - 1割が「経営に影響」と回答
「ReadyNAS Surveillance」の脆弱性に対する攻撃 - 継続的に観測
ランサムウェアを6割が認知するも、4割強はバックアップ未実施
目立つ「HeartBleed」関連インシデント - ラック報告
2016年のモバイルセキュリティ市場は65億円 - 5年後には2倍に
2017年2Qは脆弱性への攻撃が増加 - エクスプロイト公開が影響