ソフトウェア脆弱性の届け出件数、過去最高だった前四半期から大きく減少 - IPA

今四半期において、ソフトウェア製品に関する脆弱性の届け出が前四半期と比較し、大幅に減少したことが情報処理推進機構とJPCERT コーディネーションセンターのまとめによりわかった。ウェブサイトについては微増となっている。

2007年第1四半期にIPAへ届けられた脆弱性関連情報の状況をまとめたもの。IPAでは脆弱性関連情報の届け出について受け付け、JPCERT/CCが国内の製品開発者などの関連組織との調整を行っている。

今四半期のソフトウェア製品に関する脆弱性の届け出は36件。2006年は件数の増減が激しい年となり、第4四半期には123件と大幅に増加、過去最高を記録したが、今四半期では再び40件以下に落ち着いた。

またIPAでは今四半期から、共通脆弱性評価システム「CVSS」を用いた脆弱性の深刻度評価を開始しており、算出した深刻度を「レベルI（注意）」、「レベルII（警告）」、「レベルIII（危険）」に分類している。

届け出を受けた脆弱性のうち、もっとも深刻度の高いレベルIIIは、ショッピングサイト構築ソフト「ショッピングバスケットプロ v７」におけるOSコマンドインジェクションの脆弱性1件。レベルIIは2件で、いずれもRSS情報を取り扱う製品だった。2004年から今四半期末までの累積状況は、公表された脆弱性170件のうち、レベルIIIとなったのは18件と約1割で、レベルIIが7件、レベルIが145件だった。

ウェブサイトに関する脆弱性情報の届出件数は95件で、「クロスサイトスクリプティング」と「SQLインジェクション」が依然として多く、全体の7割弱を占めている。脆弱性によりさらされる脅威としては、「偽情報の表示」と「データの改ざん、消去」が全体の約半数を占め、情報漏洩についても10％に及んだ。

（Security NEXT - 2007/04/20 ） ツイート

PR

関連記事

講座申込ページで設定ミス、申込者情報が流出 - 横須賀市
整体サロン店舗端末から顧客情報が流出した可能性
作業服通販サイトに不正アクセス - 2024年に判明、新サイトへ移行
グループ会社サーバから個人情報が流出 - 茨城県の人材サービス会社
「Spring Cloud Gateway Server Webflux」に情報漏洩の脆弱性
機械学習フレームワーク「Keras」に深刻な脆弱性 - 8月の更新で修正
一部従業員情報がグループ内で閲覧可能に、BIツールで設定ミス - デンソー
個人情報含むファイルを第三者へメール誤送信 - 森林総合研究所
「LANSCOPE」エンドポイント管理製品に脆弱性 - 4月以降、攻撃を観測
「無印良品」通販サイトで出荷停止 - アスクル障害が波及