2017年の脆弱性届出傾向、DLL読込が増加他--四半期レポート(IPA)
IPAは、2017年第4四半期(10月から12月)における「ソフトウェア等の脆弱性関連情報に関する届出状況」を発表した。
調査・レポート・白書・ガイドライン
調査・ホワイトペーパー
これによると、同四半期のIPAへの脆弱性関連情報の届出件数は、ソフトウェア製品に関するもの37件、Webサイト(Webアプリケーション)に関するもの33件の合計70件であった。届出受付開始(2004年7月8日)からの累計は、ソフトウェア製品に関するもの3,895件、Webサイトに関するもの9,628件の合計13,523件で、Webサイトに関する届出が引き続き全体の約7割を占めている。
同四半期にJVNで公表したソフトウェア製品の件数は40件(累計1,704件)で、このうち6件は製品開発者による自社製品の脆弱性の届出であった。また、修正完了したWebサイトの件数は23件(累計7,105件)で、これらは届出を受け、IPAがWebサイト運営者に通知を行い、今四半期に修正を完了したもの。修正を完了した63件のうち、Webアプリケーションを修正したものは19件(82%)、当該ページを削除したものは4件(18%)、運用で回避したものはなかった。
JVNで公表した脆弱性について、2017年に公表したDLL読み込みの脆弱性は70件あり、2015年の4件、2016年の42件から著しく増加している。この脆弱性は、Windowsアプリケーションの実行時の動作を悪用するもので、ユーザの利用端末上で悪意あるコードを実行されるという点では危険な脆弱性であるといえる。
しかし、Windowsアプリケーションの実行時に、同じフォルダに悪意のあるDLLファイルを配置するという前提条件は現実的には厳しく、またユーザが適切に注意することで攻撃を防げるため、実際に悪用され、被害が報告された事例はほとんど確認されていない。ただし、攻撃が成功したときの影響が大きいため、注意喚起を発表した。
関連記事
この記事の写真
/
