標的型攻撃が悪用する定番ソフト脆弱性、8製品で全体の16％--JVN登録状況（IPA）

IPAは、2011年第4四半期（10月から12月）における「脆弱性対策情報データベース『JVN iPedia』の登録状況」を発表した。同期間にJVN iPedia日本語版へ登録した脆弱性対策情報は1,317件で第3四半期に比べ2.5倍となり、累計登録件数が12,690件と12,000件を突破した。

脆弱性と脅威脅威動向

2012.1.23 Mon 16:29

独立行政法人情報処理推進機構（IPA）は1月23日、2011年第4四半期（10月から12月）における「脆弱性対策情報データベース『JVN iPedia』の登録状況」を発表した。同期間にJVN iPedia日本語版へ登録した脆弱性対策情報は1,317件で第3四半期に比べ2.5倍となり、累計登録件数が12,690件と12,000件を突破した。内訳は、国内製品開発者から収集したもの1件（公開開始からの累計は127件）、JVNから収集したもの205件（累計1,570件）、NVDから収集したもの1,111件（累計10,993件）となっている。また、件数が多い脆弱性は「CWE-119（バッファエラー）」が159件、「CWE-79（クロスサイトスクリプティング）」が131件、「CWE-20（不適切な入力確認）」が118件、「CWE-399（リソース管理の問題）」が118件、「CWE-89（SQLインジェクション）」が107件などとなっている。

登録している脆弱性対策情報に関する注目情報として、昨今の機密情報や個人情報の窃取を目的としたサイバー攻撃は、ソフトウェアの脆弱性を悪用し、複数の既存攻撃を組合せ、ソーシャルエンジニアリングにより特定の組織や個人を狙い、対応が難しく執拗なものとなっていることを挙げている。特に、PCで広く利用されている定番ソフトウェアの脆弱性が悪用されており、PCで広く利用されている定番ソフトウェア8製品の登録件数は年々増加しており、2011年も2010年とほぼ同数の450件が登録されている。代表的な8製品だけで登録件数全体の16％を占めた。IPAでは、製品利用者は情報を日々収集し、製品のバージョンアップなどを速やかに行うよう呼びかけている。

《吉澤亨史（ Kouji Yoshizawa ）》