産業用制御システムを対象とする攻撃が増加傾向--JVN登録状況（IPA）

IPAは、2013年第3四半期（7月から9月）における「脆弱性対策情報データベース『JVN iPedia』の登録状況」を発表した。

脆弱性と脅威脅威動向

2013.10.18 Fri 14:39

独立行政法人情報処理推進機構（IPA）は10月18日、2013年第3四半期（7月から9月）における「脆弱性対策情報データベース『JVN iPedia』の登録状況」を発表した。同期間にJVN iPedia日本語版へ登録した脆弱性対策情報は1,280件で、累計登録件数が41,816件と41,000件を突破した。内訳は、国内製品開発者から収集したもの2件（公開開始からの累計は149件）、JVNから収集したもの130件（累計2,755件）、NVDから収集したもの1,148件（累計38,912件）となっている。

また、件数が多い脆弱性は「CWE-119（バッファエラー）」が217件、「CWE-79（クロスサイトスクリプティング）」が187件、「CWE-264（認可・権限・アクセス制御の問題）」が130件、「CWE-20（不適切な入力確認）」が115件、「CWE-399（リソース管理の問題）」が58件、「CWE-94（コード・インジェクション）」が54件などとなっている。

登録している脆弱性対策情報に関する注目情報として、「Webサイトの改ざんに悪用されているソフトウェアについて」および「重要なシステムにおけるソフトウェアの脆弱性について」の2点を挙げている。Webサイトの改ざんについては、Apache Struts、Parallels Plesk PanelといったWebアプリケーションフレームワークやミドルウェア、WordPress、Drupal、Joomla!といったCMSなどが攻撃に悪用されやすいソフトウェアであるとしている。また、重要なシステムにおけるソフトウェアの脆弱性については、これまでの攻撃は主に情報系を対象としていたが、産業系や組込み系など、情報系とは異なる分野のソフトウェアやシステムにも波及してきている。中でも、工場の生産設備等で使用される監視モニタ等の産業用制御システム（ICS：Industrial Control Systems）の脆弱性関連情報の公開が2011年以降増えている。

《吉澤亨史（ Kouji Yoshizawa ）》