2016年4Qのソフトウェア脆弱性は138件 - 家電とルータで30件超

情報処理推進機構（IPA）は、2016年第4四半期に届出があった脆弱性について取りまとめた。ソフトウェア製品に関する脆弱性が増加する一方、ウェブサイト関連は減少した。

脆弱性の届出件数（表：IPA）

同機構によれば、2016年第4四半期に届出のあった脆弱性関連情報は242件。前四半期の230件から増加した。2016年第2四半期に届出が一時753件と急増したが、その後落ち着きを見せている。

届出の内訳を見ると、ソフトウェア製品に関する脆弱性が138件で、前四半期の119件を上回った。一方ウェブサイト関連は104件で、前四半期の116件から減少している。

届出の受付を開始した2004年からの累計件数は、ソフトウェアが3433件、ウェブサイトが9483件。あわせると1万2916件で、ウェブサイトに関する届出が全体の約7割を占める。同四半期における就業日あたりの届出件数は前四半期と変わらず4.25件だった。

138件の届出があったソフトウェア製品を種類別に見ると、「ウェブアプリケーションソフト」が80件でもっとも多く、「情報家電（20件）」「ルータ（11件）」と続く。

脆弱性が悪用された場合に生じる脅威は、「任意のスクリプトの実行」が最多で63件。次いで「任意のファイルへのアクセス（23件）」「なりすまし（11件）」が多かった。

同四半期に脆弱性の修正が完了し、「JVN」で公表したソフトウェア製品の件数は65件で、累計は1382件。「連絡不能開発者」として製品開発者名を公表したケースは3件あり、累計で250件となる。

一方、104件の報告が寄せられたウェブサイトに関する脆弱性を見ると、「クロスサイトスクリプティング」が71件と突出しており、次に多い「ディレクトリトラバーサル（9件）」と大きな差が開いた。また、「ファイルの誤った公開」や「SQLインジェクション」の届出も寄せられている。

同四半期に修正を完了した脆弱性は60件。そのうち90日以内に修正が完了したのは72％にあたる43件だった。修正完了件数の累計は6879件。90日以内に修正が完了したのは、66％にあたる4514件だった。

（Security NEXT - 2017/01/25 ）ツイート