Apache Struts2などの情報収集と脆弱性対応が重要--JVN登録状況（IPA）

IPAは、2017年第1四半期（1月から3月）における「脆弱性対策情報データベース『JVN iPedia』の登録状況」を発表した。

調査・レポート・白書・ガイドライン調査・ホワイトペーパー

2017.4.26 Wed 8:00

独立行政法人情報処理推進機構（IPA）は4月25日、2017年第1四半期（1月から3月）における「脆弱性対策情報データベース『JVN iPedia』の登録状況」を発表した。発表によると、同期間にJVN iPedia日本語版へ登録された脆弱性対策情報は2,867件で、累計登録件数が67,485件となった。内訳は、国内製品開発者から収集したもの1件（公開開始からの累計は180件）、JVNから収集したもの267件（累計7,160件）、NVDから収集したもの2,599件（累計60,145件）となっている。

また、件数が多かった脆弱性は、「CWE-119（バッファエラー）」400件、「CWE-200（情報漏えい）」327件、「CWE-284（不適切なアクセス制御）」323件、「CWE-79（クロスサイトスクリプティング）」290件、「CWE-264（認可・権限・アクセス制御）」243件などとなっている。もっとも件数の多かったバッファエラーは、データの盗み見や改ざんなどの被害につながる可能性がある。IPAでは製品開発者に対し、ソフトウェアの企画・設計段階から脆弱性の低減に努めることが引き続き求められるとしている。

レポートでは注目情報として、「Apache Struts2の脆弱性対策情報について」および「WordPressの脆弱性対策情報について」を挙げている。2017年3月に公開された「Apache Struts2」の脆弱性対策情報（S2-045）では、リモートから任意のコードを実行される可能性があり、実際に被害が発生したことから、IPAでは緊急対策情報を発信している。また、個人情報が流出する被害も確認された。システムの運用・管理者は自組織のシステムで利用しているソフトウェアフレームワークについて常に情報収集を行い、脆弱性が公開された場合には迅速な対応が必要としている。

《吉澤亨史（ Kouji Yoshizawa ）》