Androidアプリと産業用制御システムの脆弱性に注目--JVN登録状況（IPA）

IPAは、2013年第4四半期（10月から12月）における「脆弱性対策情報データベース『JVN iPedia』の登録状況」を発表した。

調査・レポート・白書・ガイドライン調査・ホワイトペーパー

2014.1.21 Tue 15:04

独立行政法人情報処理推進機構（IPA）は1月21日、2013年第4四半期（10月から12月）における「脆弱性対策情報データベース『JVN iPedia』の登録状況」を発表した。同期間にJVN iPedia日本語版へ登録した脆弱性対策情報は1,555件で、累計登録件数が43,371件と43,000件を突破した。内訳は、国内製品開発者から収集したもの4件（公開開始からの累計は153件）、JVNから収集したもの116件（累計2,871件）、NVDから収集したもの1,435件（累計40,347件）となっている。

また、件数が多い脆弱性は「CWE-264（認可・権限・アクセス制御）」が192件、「CWE-119（バッファエラー）」が182件、「CWE-20（不適切な入力確認）」が174件、「CWE-79（クロスサイト・スクリプティング）」が169件などとなっている。

登録している脆弱性対策情報に関する注目情報として、「Androidに関する脆弱性のうち71％がAndroidアプリ」および「産業用制御システムの脆弱性のうち『レベル3（危険）』は全体の6割超」の2点を挙げている。Androidに関する脆弱性については、累計187件のうち133件がAndroidアプリに関する情報となっており、71％をAndroidアプリが占めた。アプリのカテゴリでは、ブラウザやメールなどの通信アプリ、コミュニケーションを目的としたソーシャルネットワークのアプリが前述の133件のうち79件登録されており、全体の59％を占めた。脆弱性の種類では、「CWE-264（認可・権限・アクセス制御）」が32件と圧倒的に多く、「CWE-200（情報漏えい）」が9件でこれに続いた。

また、産業用制御システムの脆弱性については、2013年も深刻度の高いレベルIIIの脆弱性が131件の登録のうち80件と6割超を占めている。深刻度の割合は、レベルIII（危険、CVSS基本値=7.0～10.0）が61％、レベルII（警告、CVSS基本値=4.0～6.9）が37％、レベルI（注意、CVSS基本値=0.0～3.9）が2％となっており、ソフトウェア全体と比較すると深刻度の高い脆弱性対策情報の登録が極めて多い。脆弱性の種類では、「CWE-119（バッファエラー）」の件数が122件となっており、全体の3割を占めた。

《吉澤亨史（ Kouji Yoshizawa ）》