ソフトウェア脆弱性の届け出件数、過去最高だった前四半期から大きく減少 - IPA

今四半期において、ソフトウェア製品に関する脆弱性の届け出が前四半期と比較し、大幅に減少したことが情報処理推進機構とJPCERT コーディネーションセンターのまとめによりわかった。ウェブサイトについては微増となっている。

2007年第1四半期にIPAへ届けられた脆弱性関連情報の状況をまとめたもの。IPAでは脆弱性関連情報の届け出について受け付け、JPCERT/CCが国内の製品開発者などの関連組織との調整を行っている。

今四半期のソフトウェア製品に関する脆弱性の届け出は36件。2006年は件数の増減が激しい年となり、第4四半期には123件と大幅に増加、過去最高を記録したが、今四半期では再び40件以下に落ち着いた。

またIPAでは今四半期から、共通脆弱性評価システム「CVSS」を用いた脆弱性の深刻度評価を開始しており、算出した深刻度を「レベルI（注意）」、「レベルII（警告）」、「レベルIII（危険）」に分類している。

届け出を受けた脆弱性のうち、もっとも深刻度の高いレベルIIIは、ショッピングサイト構築ソフト「ショッピングバスケットプロ v７」におけるOSコマンドインジェクションの脆弱性1件。レベルIIは2件で、いずれもRSS情報を取り扱う製品だった。2004年から今四半期末までの累積状況は、公表された脆弱性170件のうち、レベルIIIとなったのは18件と約1割で、レベルIIが7件、レベルIが145件だった。

ウェブサイトに関する脆弱性情報の届出件数は95件で、「クロスサイトスクリプティング」と「SQLインジェクション」が依然として多く、全体の7割弱を占めている。脆弱性によりさらされる脅威としては、「偽情報の表示」と「データの改ざん、消去」が全体の約半数を占め、情報漏洩についても10％に及んだ。

（Security NEXT - 2007/04/20 ） ツイート

PR

関連記事

ランサムウェア被害による情報流出が判明 - 日揮ユニバーサル
イベント申込フォームで設定ミス、個人情報が閲覧可能に - 鎌倉市
「Roundcube」にアップデート - 前バージョンの不具合を解消
サイトが改ざん被害、仮設サイトを設置 - 日本体操協会
Trend Microの暗号化管理製品にRCEや認証回避など深刻な脆弱性
マルウェア対策ソフト「ClamAV」に深刻な脆弱性 - パッチが公開
脆弱性スキャナ「Nessus」のWindows版エージェントに複数脆弱性
「Veeam Backup & Replication」に深刻な脆弱性 - アップデートで修正
教育補助員が持ち出した課題プリントを紛失 - 都立高
委託先事業者がメールを誤送信、メアド流出 - 栃木県