Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

2015年3Qの脆弱性情報は1761件 - 181件の「iOS」が最多

情報処理推進機構(IPA)は、2015年第3四半期における脆弱性データベース「JVN iPedia」の登録状況を取りまとめた。2期連続で減少が続いていたが、増加に転じている。

「JVN iPedia」は、国内のソフトウェア開発者が公表した脆弱性情報や、脆弱性情報ポータルサイト「JVN」の公開情報、米国国立標準技術研究所(NIST)による脆弱性データベース「NVD」の公開情報を収録したデータベース。2007年4月より提供している。

2015年第3四半期は、1761件の脆弱性対策情報を新規に登録した。その内訳は、JVNの掲載情報が326件、NVDの情報が1435件。国内製品開発者による登録情報はなかった。累計登録件数は5万6475件となり、53件を追加した英語版の累計件数は1281件となっている。

登録件数の状況を見ると、2014年第4四半期に「SSL証明書を適切に検証しない脆弱性」が1200件超のAndroidアプリで明らかとなり、一時的に3000件を超えたが、その後は2000件未満で推移。また2015年第1四半期、第2四半期と連続して減少傾向が続いたが、今回増加に転じた。

脆弱性の種類別を見ると、「バッファエラー」が349件で最多。これらのうち、ブラウザやOSに関する情報が5割以上を占める。次いで「クロスサイトスクリプティング(165件)」が多く、「不適切な入力確認(159件)」「情報漏洩(152件)」「認可、権限、アクセス制御(126件」と続く。

登録状況を製品別に見ると、最多となったのは「iOS」で181件。「Internet Explorer」が152件、「Mac OS X」が134件、「Google Chrome」が128件と続く。

また「Flash Player」の増加も目立っている。95件の登録があり、1四半期で2014年1年間の登録件数76件を上回るハイペースで推移した。2015年第3四半期までの累計は190件に達しており、すでに2014年の2.5倍を超えている。

同四半期までに登録された脆弱性情報を深刻度別にわけると、共通脆弱性評価システム「CVSS」の基本値が7.0から10.0で「危険」とされる「レベルIII」は全体の40.1%で、前期より0.1ポイント後退。「警告」の「レベルII」は52.7%で0.1ポイント上昇した。「注意」の「レベルI」は7.2%で前期と変わりなかった。

(Security NEXT - 2015/10/27 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

共用利用オフィスのセキュリティ対策認証制度がスタート
資金決済業者連携におけるクレカの不正防止対策GL - 日クレ協
小規模サイト、約1割「一切脆弱性対策せず」 - 対策不備で2割が被害経験
IPA、サイト脆弱性対策ガイドを改訂 - 一見問題なくとも脆弱性対策を
ISMAPクラウドサービスリストが公開 - 7社10サービス
セキュキャン修了生の発表イベント - オンラインで開催
2020年の緊急対応支援、3割強が「Emotet」 - ラック
「情報セキュリティ10大脅威 2021」が決定 - 研究者が注目した脅威は?
2020年4Qのインシデントは1割減 - マルウェアサイトは倍増
2020年4Qの脆弱性届け出は303件 - ソフト、サイトともに増