Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

2015年3Qの脆弱性情報は1761件 - 181件の「iOS」が最多

情報処理推進機構(IPA)は、2015年第3四半期における脆弱性データベース「JVN iPedia」の登録状況を取りまとめた。2期連続で減少が続いていたが、増加に転じている。

「JVN iPedia」は、国内のソフトウェア開発者が公表した脆弱性情報や、脆弱性情報ポータルサイト「JVN」の公開情報、米国国立標準技術研究所(NIST)による脆弱性データベース「NVD」の公開情報を収録したデータベース。2007年4月より提供している。

2015年第3四半期は、1761件の脆弱性対策情報を新規に登録した。その内訳は、JVNの掲載情報が326件、NVDの情報が1435件。国内製品開発者による登録情報はなかった。累計登録件数は5万6475件となり、53件を追加した英語版の累計件数は1281件となっている。

登録件数の状況を見ると、2014年第4四半期に「SSL証明書を適切に検証しない脆弱性」が1200件超のAndroidアプリで明らかとなり、一時的に3000件を超えたが、その後は2000件未満で推移。また2015年第1四半期、第2四半期と連続して減少傾向が続いたが、今回増加に転じた。

脆弱性の種類別を見ると、「バッファエラー」が349件で最多。これらのうち、ブラウザやOSに関する情報が5割以上を占める。次いで「クロスサイトスクリプティング(165件)」が多く、「不適切な入力確認(159件)」「情報漏洩(152件)」「認可、権限、アクセス制御(126件」と続く。

登録状況を製品別に見ると、最多となったのは「iOS」で181件。「Internet Explorer」が152件、「Mac OS X」が134件、「Google Chrome」が128件と続く。

また「Flash Player」の増加も目立っている。95件の登録があり、1四半期で2014年1年間の登録件数76件を上回るハイペースで推移した。2015年第3四半期までの累計は190件に達しており、すでに2014年の2.5倍を超えている。

同四半期までに登録された脆弱性情報を深刻度別にわけると、共通脆弱性評価システム「CVSS」の基本値が7.0から10.0で「危険」とされる「レベルIII」は全体の40.1%で、前期より0.1ポイント後退。「警告」の「レベルII」は52.7%で0.1ポイント上昇した。「注意」の「レベルI」は7.2%で前期と変わりなかった。

(Security NEXT - 2015/10/27 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

2021年4Qの脆弱性届出、ソフトとウェブともに減少
インシデント件数、前四半期から1割増 - 「マルウェアサイト」は3.4倍に
米政府、悪用済み脆弱性リストに15件を追加
「ProjectWEB」を廃止、脆弱性の件数や詳細は明かさず - 富士通
「Log4Shell」の悪用、国内でも多数検知 - 国内で被害も
年末年始の長期休暇に向けた準備を - 脆弱性やパッチ公開に注意を
政府、アクセス制御技術の研究開発情報を募集
初期侵入「総当たり攻撃」と「脆弱性攻撃」で6割超 - カスペ調査
JPCERT/CC、インシデントや脆弱性の報告者を表彰 - CDIの笹田修平氏らを選出
ダークネット宛てのパケット数が増加傾向 - クルウィットら調査