脆弱性報告、Webアプリが引き続き大半を占める--四半期レポート（IPA）

IPAおよびJPCERT/CCは、2016年第2四半期における「ソフトウェア等の脆弱性関連情報に関する届出状況」を発表した。

調査・レポート・白書・ガイドライン調査・ホワイトペーパー

2016.7.22 Fri 8:00

独立行政法人情報処理推進機構（IPA）および一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）は7月21日、2016年第2四半期における「ソフトウェア等の脆弱性関連情報に関する届出状況」を発表した。これによると、同四半期のIPAへの脆弱性関連情報の届出件数は、ソフトウェア製品に関するもの690件、Webサイト（Webアプリケーション）に関するもの63件の合計753件であった。届出受付開始（2004年7月8日）からの累計は、ソフトウェア製品に関するもの3,162件、Webサイトに関するもの9,263件の合計12,425件となっており、Webサイトに関する届出が全体の約7割を占めた。

同四半期にJVNで公表したソフトウェア製品の件数は76件（累計1,257件）で、このうち18件は製品開発者による自社製品の脆弱性の届出であった。また、修正完了したWebサイトの件数は78件（累計6,741件）で、これらは届出を受け、IPAがWebサイト運営者に通知を行い、今四半期に修正を完了したもの。修正を完了した78件のうち、Webアプリケーションを修正したものは55件（71％）、当該ページを削除したものは23件（29％）で、運用で回避したものは0件であった。

脆弱性の原因では、「Webアプリケーションの脆弱性（578件）」が最も多く、「その他実装上の不備（55件）」「ファイルのパス名、内容のチェックの不備（22件）」と続いた。脆弱性の影響では、「任意のスクリプトの実行（438件）」が最も多く、「任意のコマンドの実行（77件）」「任意のコードの実行（37件）」と続いている。

《吉澤亨史（ Kouji Yoshizawa ）》