Webサイトの改ざんに悪用されるソフトウェアに注意を--JVN登録状況（IPA）

IPAは、2013年第2四半期（4月から6月）における「脆弱性対策情報データベース『JVN iPedia』の登録状況」を発表した。

脆弱性と脅威脅威動向

2013.7.19 Fri 17:07

独立行政法人情報処理推進機構（IPA）は7月19日、2013年第2四半期（4月から6月）における「脆弱性対策情報データベース『JVN iPedia』の登録状況」を発表した。同期間にJVN iPedia日本語版へ登録した脆弱性対策情報は1,200件で、累計登録件数が40,536件と40,000件を突破した。内訳は、国内製品開発者から収集したもの5件（公開開始からの累計は147件）、JVNから収集したもの128件（累計2,626件）、NVDから収集したもの1,067件（累計37,764件）となっている。

また、件数が多い脆弱性は「CWE-119（バッファエラー）」が194件、「CWE-79（クロスサイトスクリプティング）」が130件、「CWE-264（認可・権限・アクセス制御の問題）」が114件、「CWE-20（不適切な入力確認）」が96件、「CWE-399（リソース管理の問題）」が82件、「CWE-200（情報漏えい）」が55件などとなっている。

登録している脆弱性対策情報に関する注目情報として、「Webサイトの改ざんに悪用されているソフトウェアについて」および「サポートが終了するソフトウェアの脆弱性対策について」の2点を挙げている。Webサイトの改ざんについては、Joomla!、WordPressといったCMSをはじめとして、Apache Struts、Parallels Plesk Panel、またParallels Plesk Panelに付随してインストールされることの多いMySQL、BIND、phpMyAdminといったソフトウェアの脆弱性は、2007年以降毎年200件前後が公開されており、2013年6月末時点では101件となっている。製品利用者は情報を日々収集し、製品のバージョンアップなどを速やかに行うよう呼びかけている。

《吉澤亨史（ Kouji Yoshizawa ）》