2013年第2四半期の脆弱性届出状況、ウェブサイトの脆弱性増加傾向に歯止め

情報処理推進機構（IPA）とJPCERTコーディネーションセンターは、2013年第2四半期における脆弱性の届出状況について取りまとめた。

同四半期に届出があった脆弱性関連情報は232件で、前四半期の277件から減少した。内訳はソフトウェア製品の脆弱性が47件、ウェブサイトの脆弱性が185件。いずれも前四半期の64件、213件から後退している。ウェブサイトの脆弱性は、2012年第2四半期以降の増加傾向に歯止めがかかった。

2004年の受付開始からの累計件数は、ソフトウェアが1573件、ウェブサイトが7098件で合計8671件。ウェブサイトが全体の82％を占めている。1就業日あたりの届出件数は3.94件で、前四半期の3.97件からわずかに減少した。

ソフトウェア製品の種類別届出状況を見ると、最多は39％を占めた「ウェブアプリケーションソフト」。次いで「ウェブブラウザ（11％）」「アプリケーション開発、実行環境（7％）」と続き、順位や割合に大きな変動は見られない。スマートフォン向けアプリの脆弱性届出件数は10件で、前期の12件から微減となった。

脆弱性が悪用された場合に生じる脅威では、「任意のスクリプトの実行」が12件と最も多いが、前期の19件から減少している。「情報の漏洩（10件）」「なりすまし（4件）」「任意のコードの実行（3件）」と続く。

脆弱性の公表状況を見ると、国内外の発見者や製品開発者から届出を受けたもの、海外CSIRTなどと連携して公表したものが各37件。国内外の発見者や製品開発者からの届出で、45日以内に公表した件数の割合は33％だった。また、同四半期中にあらたに公表した連絡不能開発者は0件で、累計公表数は106件。

ウェブサイトの脆弱性を見ると、「クロスサイトスクリプティング」が最多で、今四半期までの届出全体に占める割合も54％と半数を超えた。脆弱性がもたらす脅威では「本物サイト上への偽情報の表示（52％）」「ドメイン情報の挿入（19％）」「データの改ざん、消去（12％）」となっている。

ウェブサイトの脆弱性で修正が完了したのは170件で、累計4915件となった。届出から90日以内に修正完了した件数は今期末で3244件となり、割合は66％。2011年第4四半期から変化のない状況が続いている。

（Security NEXT - 2013/07/24 ）ツイート