Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

2013年第2四半期の脆弱性届出状況、ウェブサイトの脆弱性増加傾向に歯止め

情報処理推進機構(IPA)とJPCERTコーディネーションセンターは、2013年第2四半期における脆弱性の届出状況について取りまとめた。

同四半期に届出があった脆弱性関連情報は232件で、前四半期の277件から減少した。内訳はソフトウェア製品の脆弱性が47件、ウェブサイトの脆弱性が185件。いずれも前四半期の64件、213件から後退している。ウェブサイトの脆弱性は、2012年第2四半期以降の増加傾向に歯止めがかかった。

2004年の受付開始からの累計件数は、ソフトウェアが1573件、ウェブサイトが7098件で合計8671件。ウェブサイトが全体の82%を占めている。1就業日あたりの届出件数は3.94件で、前四半期の3.97件からわずかに減少した。

ソフトウェア製品の種類別届出状況を見ると、最多は39%を占めた「ウェブアプリケーションソフト」。次いで「ウェブブラウザ(11%)」「アプリケーション開発、実行環境(7%)」と続き、順位や割合に大きな変動は見られない。スマートフォン向けアプリの脆弱性届出件数は10件で、前期の12件から微減となった。

脆弱性が悪用された場合に生じる脅威では、「任意のスクリプトの実行」が12件と最も多いが、前期の19件から減少している。「情報の漏洩(10件)」「なりすまし(4件)」「任意のコードの実行(3件)」と続く。

脆弱性の公表状況を見ると、国内外の発見者や製品開発者から届出を受けたもの、海外CSIRTなどと連携して公表したものが各37件。国内外の発見者や製品開発者からの届出で、45日以内に公表した件数の割合は33%だった。また、同四半期中にあらたに公表した連絡不能開発者は0件で、累計公表数は106件。

ウェブサイトの脆弱性を見ると、「クロスサイトスクリプティング」が最多で、今四半期までの届出全体に占める割合も54%と半数を超えた。脆弱性がもたらす脅威では「本物サイト上への偽情報の表示(52%)」「ドメイン情報の挿入(19%)」「データの改ざん、消去(12%)」となっている。

ウェブサイトの脆弱性で修正が完了したのは170件で、累計4915件となった。届出から90日以内に修正完了した件数は今期末で3244件となり、割合は66%。2011年第4四半期から変化のない状況が続いている。

(Security NEXT - 2013/07/24 ) このエントリーをはてなブックマークに追加

PR

関連記事

16.5%の企業がCSIRT設置 - 1001名以上では4割
「Office」数式エディタの脆弱性狙うマルウェア、一時大きく増加
2018年3Qの脆弱性届出は177件 - ソフトとサイトいずれも増加
2018年3Q、脆弱性DBへの登録は3834件 - IPA
2018年2Q、TCP 80番ポート宛てのパケットが増加 - 「Mirai」影響で
SIPサーバの探索行為が再び増加 - IP電話乗っ取りに注意を
執拗な攻撃で組織へ侵入、感染するランサムウェア「SamSam」 - 被害は約590万ドルに
サーバなど4分の1の機器で不用意にポート公開 - サイト1割強がメンテ経路を開放
運用甘い脆弱なルータを狙う攻撃が大量発生 - 「WebLogic」脆弱性狙う攻撃にも注意を
「WordPress」のプラグイン狙う攻撃が急増 - 前四半期の10倍超に