IPA、2011年4～6月の脆弱性関連状況のまとめ報告を公開

2011/7/28

ツイート

IPA（独立行政法人情報処理推進機構）は、2011年第2四半期（4～6月）の脆弱性対策情報のまとめとして、7月21日に「脆弱性対策情報データベースJVN iPediaの登録状況」を、7月26日に「ソフトウェア等の脆弱性関連情報に関する届出状況」を公開しました。

これらの発表によると、脆弱性対策情報データベース「JVN iPedia」の日本語版には、4～6月の間に638件の情報が追加登録され、データベースの公開が始まった2007年4月25日からの累計数が10,849件に上っています。

収集された情報では、Webシステムを構成するソフトウェアに多数の脆弱性が存在することが明らかになっています。中でも顕著なのは、Adobe Flash Playerに関する情報の登録・公開件数が急増していることで、現在JVN iPediaには累計182件の情報が登録されています。

登録情報の73%は、Webサイトを閲覧しただけで悪意のあるプログラムがインストールされたり、データの変更・削除等が行われるといった深刻度の高い脆弱性であるため、最新のソフトウェアにバージョンアップするなどのセキュリティ対策の必要性を呼びかけています。

ソフトウェア等の脆弱性関連情報については、IPAに届出された件数は4～6月期で合計83件。2004年7月の届出受付開始から累計すると、合計6,651件となりました（ソフトウェア製品関連が1,207件、Webサイト関連は5,444件）。

この届出に関して、JPCERTコーディネーションセンターが調整を行い、修正を完了した件数は4,027件に上ったと報告されています。

ただし、436件のソフトウェア製品が「取扱い中」として、いまだに脆弱性対策情報が公表されない未修正状態であることも指摘されています。

取扱い中のソフトウェア製品は、Webアプリケーションソフトが最も多く、全体の46%を占めています。また脆弱性がもたらす脅威として最も多いのは「任意のスクリプトの実行」が挙げられ、次いで「情報の漏えい」となっています。

こうした事態を踏まえて、脆弱性対策を促すために、連絡がとれない製品開発者の一覧をJVNに掲載するなど、状況改善の取り組みを始めたことも明らかにされています。

• 脆弱性
• Webからの脅威
• 情報漏えい
• ウェブアプリケーション
• Adobe Flash Player