Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

ソフトウェア脆弱性の届け出件数、過去最高だった前四半期から大きく減少 - IPA

今四半期において、ソフトウェア製品に関する脆弱性の届け出が前四半期と比較し、大幅に減少したことが情報処理推進機構とJPCERT コーディネーションセンターのまとめによりわかった。ウェブサイトについては微増となっている。

2007年第1四半期にIPAへ届けられた脆弱性関連情報の状況をまとめたもの。IPAでは脆弱性関連情報の届け出について受け付け、JPCERT/CCが国内の製品開発者などの関連組織との調整を行っている。

今四半期のソフトウェア製品に関する脆弱性の届け出は36件。2006年は件数の増減が激しい年となり、第4四半期には123件と大幅に増加、過去最高を記録したが、今四半期では再び40件以下に落ち着いた。

またIPAでは今四半期から、共通脆弱性評価システム「CVSS」を用いた脆弱性の深刻度評価を開始しており、算出した深刻度を「レベルI(注意)」、「レベルII(警告)」、「レベルIII(危険)」に分類している。

届け出を受けた脆弱性のうち、もっとも深刻度の高いレベルIIIは、ショッピングサイト構築ソフト「ショッピングバスケットプロ v7」におけるOSコマンドインジェクションの脆弱性1件。レベルIIは2件で、いずれもRSS情報を取り扱う製品だった。2004年から今四半期末までの累積状況は、公表された脆弱性170件のうち、レベルIIIとなったのは18件と約1割で、レベルIIが7件、レベルIが145件だった。

ウェブサイトに関する脆弱性情報の届出件数は95件で、「クロスサイトスクリプティング」と「SQLインジェクション」が依然として多く、全体の7割弱を占めている。脆弱性によりさらされる脅威としては、「偽情報の表示」と「データの改ざん、消去」が全体の約半数を占め、情報漏洩についても10%に及んだ。

(Security NEXT - 2007/04/20 ) このエントリーをはてなブックマークに追加

PR

関連記事

市サイトで送信した画像が閲覧可能に、マイナンバーなども - 佐賀市
端末の更新を失念、マイナンバーカード手続きで障害 - 長野市
システム堅牢化やCTFなど人材育成演習サービスを拡充 - NEC
Instagramに偽アカウント - キングジムが注意喚起
「Apache Tomcat」に複数脆弱性 - 2月のアップデートで修正済み
「Chrome 89」が公開、セキュリティ関連で修正47件 - ゼロデイ脆弱性にも対応
クラウド顧客管理システムに設定不備、調査で判明 - ホーユー
「Microsoft Exchange Server」に定例外パッチ - ゼロデイ攻撃が発生
メール誤送信、情報共有せず他課で再発 - 那覇市
国内主要企業のDMARC導入、4社に1社 - 政府は3省庁のみ