サポートが終了したMicrosoft製品の脆弱性は28％--JVN登録状況（IPA）

IPAは、2014年第1四半期（1月から3月）における「脆弱性対策情報データベース『JVN iPedia』の登録状況」を発表した。

調査・レポート・白書・ガイドライン調査・ホワイトペーパー

2014.4.23 Wed 18:56

独立行政法人情報処理推進機構（IPA）は4月23日、2014年第1四半期（1月から3月）における「脆弱性対策情報データベース『JVN iPedia』の登録状況」を発表した。同期間にJVN iPedia日本語版へ登録した脆弱性対策情報は1,790件で、累計登録件数が45,161件となった。内訳は、国内製品開発者から収集したもの3件（公開開始からの累計は156件）、JVNから収集したもの264件（累計3,135件）、NVDから収集したもの1,523件（累計41,870件）となっている。

また、件数が多い脆弱性は「CWE-79（クロスサイト・スクリプティング）」が262件、「CWE-119（バッファエラー）」が191件、「CWE-264（認可・権限・アクセス制御）」が187件「CWE-20（不適切な入力確認）」が152件などとなっている。

登録している脆弱性対策情報に関する注目情報として、「登録されたMicrosoft製品の脆弱性のうち、サポートが終了したWindowsXP等の脆弱性は全体の28％」を挙げている。4月9日にWindowsXP、Microsoft Office 2003、Internet Explorer 6のサポートが終了したが、サポート終了直前である今四半期においてJVN iPediaに登録されたMicrosoft製品の脆弱性対策情報の合計は72件で、うちサポート終了3製品の情報は20件、その割合は全体の28％であった。また、その内訳は、Internet Explorer 6が17％、WindowsXPが7％、Microsoft Office 2003が4％であった。また、サポートが終了したMicrosoft製品に対する脆弱性は深刻度レベル3の割合が85％となっており、ソフトウェア全体と比較すると深刻度の高い脆弱性対策情報の登録が多くなっている。

《吉澤亨史（ Kouji Yoshizawa ）》