このほど発表された「ソフトウェア等の脆弱性関連情報に関する届け出状況」によると、今年第3四半期(7月~9月)にIPAやJPCERT/CCに届け出のあった脆弱性情報は計210件。日本国内での脆弱性情報の取り扱いは2004年7月より情報セキュリティ早期警戒パートナ―シップにもとづき運営されており、国内の脆弱性情報の届け出の累計は1万6989件となった。
ソフトウェア製品96件、ウェブサイト114件
今年第3四半期(7月~9月)にIPAやJPCERT/CCに届け出のあった脆弱性情報210件のうちソフトウェア製品に関する届け出は96件で、ウェブサイトに関する届け出は114件だった。脆弱性情報の届け出のあったソフトウェア製品を種類別でみると、最も多かったのがウェブアプリケーションソフトウェアで41件、次いで多かったのがグループウェア20件だった。累計でもウェブアプリケーションソフトが全体の44%で、ソフトウェア製品の脆弱性届出の種類で最も多くを占めている。一方、ウェブサイトの脆弱性情報でもっとも多かったのはクロスサイト・スクリプティングで48件を占め、次いでSQLインジェクションの30件だった。脆弱性による影響としてもっとも多かったのは「本物サイト上への偽情報の表示」50件で、次いで「データの改ざん、消去」30件だった。
今年第3四半期を含む国内の脆弱性情報の届け出件数の累計は1万6989件となり、内訳はソフトウェア製品が4947件、ウェブサイトが1万2042件で、ウェブサイトの脆弱性が全体の約7割を占めている状況だ。うち受理された届け出件数の累計は計1万6207件で、ソフトウェア製品4449件、ウェブサイト1万1758件となっている。
過去3年間の四半期ごとの届け出状況をみると、ソフトウェア製品に関しては2018年第4四半期が55件で、以降も同程度の水準で推移していたが、2020年第4四半期に73件とやや増加し、今年になってからは71件、80件、96件と増加傾向にある。一方、ウェブサイトの脆弱性情報の届け出件数はばらつきがあり、過去3年間でもっとも多かったのは2019年の第2四半期で442件、もっとも少なかったのは2018年の第4四半期で36件だった。
JPCERT/CC「ソフトウェア等の脆弱性情報に関する届出状況(2021年第3四半期7月―9月)」より
製品開発者と連絡がとれない脆弱性は251件
IPAやJPCERT/CCに届け出があり受理された脆弱性情報は、製品開発者が検証し対策を講じた上で、日本国内の脆弱性データベースであるJVN(Japan Vulnerability Notes)に登録され、公開される。今年第3四半期(7月~9月)に届け出のあった脆弱性情報210件のうちJVNに登録され公開された脆弱性は78件で、うちソフトウェア製品が34件、ウェブサイトに関する情報が44件だった。また、JVNに登録され公開された脆弱性情報の累計は1万477件となり、内訳はソフトウェア製品が2316件、ウェブサイトが8161件となっている。
届け出があった脆弱性情報の製品開発者と連絡がとれない場合があり、そのようなケースでは、連絡不能開発者として開発者名が公表される。さらに公表から3カ月経っても連絡がない場合は製品情報が公表され、それでも連絡がない場合は公表判定委員会で判定した後、脆弱性情報がJVNに登録され、公開されることになる。今年第3四半期に1件の連絡不能開発者と連絡がとれたことから連絡不能開発者の累計は251件になった。また、今年第3四半期に新たな連絡不能開発者はなかった。
IPAとJPCERT/CCは、製品開発者に対して製品開発者リストへの登録を求めていて、またウェブサイトの運営者にはどのようなソフトウェア製品をウェブサイトに利用しているのか把握して脆弱性対策を行うように求めている。さらに一般ユーザーに対しては自発的なセキュリティ対策を、脆弱性の発見者に対しては修正が行われるまでは第三者に情報が漏れないよう脆弱性情報を適切に管理するように求めている。
■出典