Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

2013年第3四半期の脆弱性届出は317件 - ウェブサイトの脆弱性届出が増加

情報処理推進機構(IPA)とJPCERTコーディネーションセンターは、2013年第3四半期における脆弱性の届出状況について取りまとめた。

20131023ip_001.jpg
脆弱性関連情報の届出件数推移(グラフ:IPA)

レポートによれば、同四半期に届出があった脆弱性関連情報は317件。前四半期の232件から増加した。

内訳はソフトウェア製品の脆弱性が51件、ウェブサイトの脆弱性が266件。いずれも前四半期の47件、185件から上昇している。特にウェブサイトの脆弱性は、2012年第2四半期以来続いていた増加傾向に前期でようやく歯止めがかかったが、再び大きく増加している。

2004年の受付開始からの累計件数は、ソフトウェアが1620件、ウェブサイトが7365件で合計8985件。ウェブサイトが占める割合は82%で、前期から変化はない。1就業日あたりの届出件数は3.97件で、前期の3.94件から上昇した。

ソフトウェア製品の種類別届出状況によると、39%を占めた「ウェブアプリケーションソフト」が最多だった。次いで「ウェブブラウザ(11%)」「アプリケーション開発、実行環境(7%)」と続く。順位や割合に大きな変動は見られなかった。

スマートフォン向けアプリの脆弱性届出件数は7件で、前期の8件からわずかに減少。2012年以降、10件前後で推移している。

脆弱性が悪用された場合に生じる脅威では、「任意のスクリプトの実行」が13件と最も多く、前期の10件から増加。「サービス不能(7件)」「任意のコードの実行(6件)」と続く。「情報の漏洩」は前期の10件から1件に減少した。

脆弱性の修正状況を見ると、製品開発者が修正を完了し、今四半期にJVNで対策情報を公表したものは26件。そのうち、届出を受理してから公表までに46日以上経過したものは16件と半数以上だった。また、今四半期中にあらたに公表した連絡不能開発者は4件で、累計公表数は110件となった。

ウェブサイトの脆弱性では、「クロスサイトスクリプティング」が最も多く、今四半期までの届出全体に対し、55%を占める。続いて「DNS情報の設定不備」「SQLインジェクション」となり、この3種で全体の86%を占める。脆弱性がもたらす脅威では「本物サイト上への偽情報の表示(52%)」「ドメイン情報の挿入(19%)」「データの改ざん、消去(12%)」で、前期から順位と割合に変化はない。

ウェブサイトの脆弱性で修正が完了したのは204件で、累計5119件となった。届出から90日以内に修正完了した件数は今期末で3400件。割合は66%で、2011年第4四半期から変化のない状況が続いている。

(Security NEXT - 2013/10/23 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

不正サイトのマルウェア拡散、「仮想通貨採掘ツール」にシフト - 相場高騰が後押しか
445番ポートへのパケットを継続して観測、「WannaCrypt」の影響収束せず
2017年3Qの脆弱性届け出は121件 - 前四半期から半減
2017年3Qの脆弱性登録は3695件 - 制御システム関連は99件
金融機関の3割でサイバー攻撃が発生 - 1割が「経営に影響」と回答
「ReadyNAS Surveillance」の脆弱性に対する攻撃 - 継続的に観測
ランサムウェアを6割が認知するも、4割強はバックアップ未実施
目立つ「HeartBleed」関連インシデント - ラック報告
2016年のモバイルセキュリティ市場は65億円 - 5年後には2倍に
2017年2Qは脆弱性への攻撃が増加 - エクスプロイト公開が影響