届出された脆弱性の影響、「任意のコマンドの実行」が最多--四半期レポート（IPA）

IPAは、2017年第1四半期（1月から3月）における「ソフトウェア等の脆弱性関連情報に関する届出状況」を発表した。

調査・レポート・白書・ガイドライン調査・ホワイトペーパー

2017.4.27 Thu 8:00

独立行政法人情報処理推進機構（IPA）は4月26日、2017年第1四半期（1月から3月）における「ソフトウェア等の脆弱性関連情報に関する届出状況」を発表した。これによると、同四半期のIPAへの脆弱性関連情報の届出件数は、ソフトウェア製品に関するもの88件、Webサイト（Webアプリケーション）に関するもの57件の合計145件であった。届出受付開始（2004年7月8日）からの累計は、ソフトウェア製品に関するもの3,520件、Webサイトに関するもの9,541件の合計13,061件となっており、Webサイトに関する届出が引き続き全体の約7割を占めた。

同四半期にJVNで公表したソフトウェア製品の件数は47件（累計1,429件）で、このうち4件は製品開発者による自社製品の脆弱性の届出であった。また、修正完了したWebサイトの件数は105件（累計6,984件）で、これらは届出を受け、IPAがWebサイト運営者に通知を行い、今四半期に修正を完了したもの。修正を完了した105件のうち、Webアプリケーションを修正したものは97件（92％）、当該ページを削除したものは8件（8％）、運用で回避したものは12件（26％）であった。

届出された脆弱性の原因では、「その他実装上の不備（46件）」がもっとも多く、「Webアプリケーションの脆弱性（32件）」「アクセス制御の不備（5件）」と続いた。届出された脆弱性がもたらす影響では、「任意のコマンドの実行（41件）」がもっとも多く、「任意のスクリプトの実行（14件）」「アクセス制限の回避（12件）」という順になっている。

《吉澤亨史（ Kouji Yoshizawa ）》