ソフトウェア脆弱性の届け出件数、過去最高だった前四半期から大きく減少 - IPA

今四半期において、ソフトウェア製品に関する脆弱性の届け出が前四半期と比較し、大幅に減少したことが情報処理推進機構とJPCERT コーディネーションセンターのまとめによりわかった。ウェブサイトについては微増となっている。

2007年第1四半期にIPAへ届けられた脆弱性関連情報の状況をまとめたもの。IPAでは脆弱性関連情報の届け出について受け付け、JPCERT/CCが国内の製品開発者などの関連組織との調整を行っている。

今四半期のソフトウェア製品に関する脆弱性の届け出は36件。2006年は件数の増減が激しい年となり、第4四半期には123件と大幅に増加、過去最高を記録したが、今四半期では再び40件以下に落ち着いた。

またIPAでは今四半期から、共通脆弱性評価システム「CVSS」を用いた脆弱性の深刻度評価を開始しており、算出した深刻度を「レベルI（注意）」、「レベルII（警告）」、「レベルIII（危険）」に分類している。

届け出を受けた脆弱性のうち、もっとも深刻度の高いレベルIIIは、ショッピングサイト構築ソフト「ショッピングバスケットプロ v７」におけるOSコマンドインジェクションの脆弱性1件。レベルIIは2件で、いずれもRSS情報を取り扱う製品だった。2004年から今四半期末までの累積状況は、公表された脆弱性170件のうち、レベルIIIとなったのは18件と約1割で、レベルIIが7件、レベルIが145件だった。

ウェブサイトに関する脆弱性情報の届出件数は95件で、「クロスサイトスクリプティング」と「SQLインジェクション」が依然として多く、全体の7割弱を占めている。脆弱性によりさらされる脅威としては、「偽情報の表示」と「データの改ざん、消去」が全体の約半数を占め、情報漏洩についても10％に及んだ。

（Security NEXT - 2007/04/20 ） ツイート

PR

関連記事

「React」が脆弱性3件を追加修正 - 重大脆弱性の余波に引き続き警戒を
「MS Edge」にアップデート - 「Chromium」のゼロデイ脆弱性に対処
県サイト資料に非公開の個人情報、マスキング未処理 - 静岡県
職員用グループウェアがランサム被害、生徒情報流出か - 向上学園
自治体委託イベントの申込フォームに不備 - 個人情報が閲覧可能に
サイバー攻撃被害が判明、内部情報へアクセスされた痕跡 - BBT
個人情報含む記憶媒体紛失、教諭2人を懲戒処分 - 北海道
「AEM」に100件超の脆弱性 - 「クリティカル」も複数
オンライン会議ソフト「Zoom Rooms」に脆弱性 - 最新版で修正済み
地理情報サーバ「GeoServer」の脆弱性悪用に注意喚起 - 米当局