SQLインジェクションの脆弱性情報が急増--JVN登録状況（IPA）

IPAは、2012年第2四半期（4月から6月）における「脆弱性対策情報データベース『JVN iPedia』の登録状況」を発表した。同四半期に登録された脆弱性対策情報は前四半期に比べ倍近くとなり、累計登録件数が22,000件を突破した。

調査・レポート・白書・ガイドライン調査・ホワイトペーパー

2012.7.20 Fri 15:56

独立行政法人情報処理推進機構（IPA）は7月20日、2012年第2四半期（4月から6月）における「脆弱性対策情報データベース『JVN iPedia』の登録状況」を発表した。同期間にJVN iPedia日本語版へ登録した脆弱性対策情報は7,040件で前四半期に比べ倍近くとなり、累計登録件数が22,934件と22,000件を突破した。内訳は、国内製品開発者から収集したもの1件（公開開始からの累計は133件）、JVNから収集したもの273件（累計2,008件）、NVDから収集したもの6,766件（累計20,793件）となっている。

また、件数が多い脆弱性は「CWE-89（SQLインジェクション）」が951件、「CWE-79（クロスサイトスクリプティング）」が741件、「CWE-119（バッファエラー）」が563件、「CWE-264（認可・権限・アクセス制御の問題）」が400件、「CWE-22（パス・トラバーサル）」が345件、「CWE-20（不適切な入力確認）」が344件などとなっている。全体的に件数が急増しているが、特にSQLインジェクションの増加が目立った。

登録している脆弱性対策情報に関する注目情報として、スマートフォン上で稼働するソフトウェアの脆弱性が急増していることを挙げている。Android OSとAndroidアプリだけを抽出した登録件数の年別推移では、昨年までは13件であったが、2012年上半期には67件の登録があった。これは、Androidの普及によるアプリ数の拡大のほか、国内外の脆弱性研究者によるAndroidアプリに対する調査の活発化が一因であろうと推測している。

《吉澤亨史（ Kouji Yoshizawa ）》