Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

2013年第4四半期の脆弱性届出は307件 - ソフト、ウェブともに減少

情報処理推進機構(IPA)とJPCERTコーディネーションセンターは、2013年第4四半期における脆弱性の届出状況について取りまとめた。

20140122ip_001.jpg
脆弱性届出件数の推移(グラフ:IPA)

同レポートによれば、同四半期に届出があった脆弱性関連情報は307件。内訳はソフトウェア製品の脆弱性が88件、ウェブサイトの脆弱性が219件だった。

ソフトウェア、ウェブサイトのいずれも前四半期の93件、266件からは減少しているが、2012年と比較すると高い水準で推移している。特にソフトウェアは、2012年から2013年前半にかけては40から50件前半だったのに対し、2013年後半に入り、90件前後に上昇した。

受付を開始した2004年からの累計件数は、ソフトウェアが1749件、ウェブサイトが7584件で合計9333件。ウェブサイトが占める割合は81%で、前期から1ポイント減。1就業日あたりの届出件数は4.03件で、前期の4件から微増している。

ソフトウェア製品の届出件数を種類別に見ると、最多は「ファイル管理ソフト」で50件。次いで「ウェブアプリケーションソフト」が10件、「グループウェア」8件と続く。なかでも、「ファイル管理ソフト」は、2013年後半に急増している。

またスマートフォン向けアプリの脆弱性届出件数は54件で、全体の半数以上を占めた。前四半期から急増しており、2期連続で過半数を占めている。

脆弱性が悪用された場合に生じる脅威を見ると、前四半期の傾向を引き継いで「ファイル名のパス、内容のチェックの不備(51件)」が最多。次に多かったのは「ウェブアプリケーションの脆弱性」で12件だった。

脆弱性の修正状況を見ると、製品開発者が修正を完了し、今四半期にJVNで対策情報を公表したものは34件で、累計は814件。また、同四半期中にあらたに公表した連絡不能開発者は16件で、累計公表数は126件となった。

ウェブサイトの脆弱性では、これまでの傾向と変わらず「クロスサイトスクリプティング」がもっとも多く、「SQLインジェクション」が続く。「クロスサイトスクリプティング」は、同四半期までの届出全体の55%を占めており、「DNS情報の設定不備」「SQLインジェクション」を合わせると、全届出の85%に及ぶ。

ウェブサイトの脆弱性で今四半期中に修正が完了したのは189件で、累計5308件となった。今四半期は、修正完了までに91日以上を要した件数は32件で、全体の17%。前四半期の24%より改善している。届出から90日以内に修正完了した件数は今期末で3557件。割合は67%で、1ポイント増加した。

(Security NEXT - 2014/01/22 ) このエントリーをはてなブックマークに追加

PR

関連記事

16.5%の企業がCSIRT設置 - 1001名以上では4割
「Office」数式エディタの脆弱性狙うマルウェア、一時大きく増加
2018年3Qの脆弱性届出は177件 - ソフトとサイトいずれも増加
2018年3Q、脆弱性DBへの登録は3834件 - IPA
2018年2Q、TCP 80番ポート宛てのパケットが増加 - 「Mirai」影響で
SIPサーバの探索行為が再び増加 - IP電話乗っ取りに注意を
執拗な攻撃で組織へ侵入、感染するランサムウェア「SamSam」 - 被害は約590万ドルに
サーバなど4分の1の機器で不用意にポート公開 - サイト1割強がメンテ経路を開放
運用甘い脆弱なルータを狙う攻撃が大量発生 - 「WebLogic」脆弱性狙う攻撃にも注意を
「WordPress」のプラグイン狙う攻撃が急増 - 前四半期の10倍超に