Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

2013年第2四半期の脆弱性届出状況、ウェブサイトの脆弱性増加傾向に歯止め

情報処理推進機構(IPA)とJPCERTコーディネーションセンターは、2013年第2四半期における脆弱性の届出状況について取りまとめた。

同四半期に届出があった脆弱性関連情報は232件で、前四半期の277件から減少した。内訳はソフトウェア製品の脆弱性が47件、ウェブサイトの脆弱性が185件。いずれも前四半期の64件、213件から後退している。ウェブサイトの脆弱性は、2012年第2四半期以降の増加傾向に歯止めがかかった。

2004年の受付開始からの累計件数は、ソフトウェアが1573件、ウェブサイトが7098件で合計8671件。ウェブサイトが全体の82%を占めている。1就業日あたりの届出件数は3.94件で、前四半期の3.97件からわずかに減少した。

ソフトウェア製品の種類別届出状況を見ると、最多は39%を占めた「ウェブアプリケーションソフト」。次いで「ウェブブラウザ(11%)」「アプリケーション開発、実行環境(7%)」と続き、順位や割合に大きな変動は見られない。スマートフォン向けアプリの脆弱性届出件数は10件で、前期の12件から微減となった。

脆弱性が悪用された場合に生じる脅威では、「任意のスクリプトの実行」が12件と最も多いが、前期の19件から減少している。「情報の漏洩(10件)」「なりすまし(4件)」「任意のコードの実行(3件)」と続く。

脆弱性の公表状況を見ると、国内外の発見者や製品開発者から届出を受けたもの、海外CSIRTなどと連携して公表したものが各37件。国内外の発見者や製品開発者からの届出で、45日以内に公表した件数の割合は33%だった。また、同四半期中にあらたに公表した連絡不能開発者は0件で、累計公表数は106件。

ウェブサイトの脆弱性を見ると、「クロスサイトスクリプティング」が最多で、今四半期までの届出全体に占める割合も54%と半数を超えた。脆弱性がもたらす脅威では「本物サイト上への偽情報の表示(52%)」「ドメイン情報の挿入(19%)」「データの改ざん、消去(12%)」となっている。

ウェブサイトの脆弱性で修正が完了したのは170件で、累計4915件となった。届出から90日以内に修正完了した件数は今期末で3244件となり、割合は66%。2011年第4四半期から変化のない状況が続いている。

(Security NEXT - 2013/07/24 ) このエントリーをはてなブックマークに追加

PR

関連記事

2020年2Qインシデント、前四半期比1.3倍 - フィッシングなど増加
クラウドでのデータ侵害、構成ミスが8割強 - IBM調査
マルウェアとの遭遇率、3年で約半分に - MS調査
標的型攻撃のレスキュー支援、2019年度は139件
狙われるZyxel製ネットワーク管理製品の脆弱性 - ボットネットも標的に
2019年のフィッシング報告は約5.6万件 - 前年の2.8倍に
2020年1Qの脆弱性届け出は263件 - ウェブサイト関連が倍増
2月中旬から「Mirai」亜種が活発化か - JPCERT/CC観測
2020年1Qの脆弱性DB登録は4520件 - EOL「Windows 7」も件数上位に
セキュ投資少ない企業、インシデント潜在化のリスク