「Apache Struts 1」利用に早急な切り替えを呼びかけ--JVN登録状況（IPA）

IPAは、2016年第2四半期（4月から6月）における「脆弱性対策情報データベース『JVN iPedia』の登録状況」を発表した。

脆弱性と脅威脅威動向

2016.7.27 Wed 8:00

独立行政法人情報処理推進機構（IPA）は7月26日、2016年第2四半期（4月から6月）における「脆弱性対策情報データベース『JVN iPedia』の登録状況」を発表した。発表によると、同期間にJVN iPedia日本語版へ登録された脆弱性対策情報は1,762件で、累計登録件数が61,309件となった。内訳は、国内製品開発者から収集したもの2件（公開開始からの累計は176件）、JVNから収集したもの206件（累計6,498件）、NVDから収集したもの1,554件（累計54,635件）となっている。

また、件数が多かった脆弱性は、「CWE-119（バッファエラー）」353件、「CWE-20（不適切な入力確認）」176件、「CWE-264（認可・権限・アクセス制御）」170件、「CWE-200（情報漏えい）」165件、「CWE-79（クロスサイト・スクリプティング）」96件などとなっている。IPAでは製品開発者に対し、ソフトウェアの企画・設計段階から、セキュリティ対策を講じ、脆弱性の低減に努めることが求められるとしている。

レポートでは注目情報として、「Apache Strutsの脆弱性対策情報について」を挙げている。今四半期は、Apache Strutsの脆弱性が15件登録され、このうち2件で遠隔の第三者から任意のコードを実行されるといった危険な攻撃コードを確認している。また、15件のうちApache Struts 1が影響を受ける脆弱性対策情報は2件であったが、すでに公式サポートが終了しているため、通常は脆弱性対策情報は公開されない。IPAでは、早急にApache Struts 2や他のフレームワークなどに切り替えることを検討する必要があるとしている。

《吉澤亨史（ Kouji Yoshizawa ）》