脆弱性の届出、影響別では「任意のコマンド実行」が1位--四半期レポート（IPA、JPCERT/CC）

IPAおよびJPCERT/CCは、2018年第1四半期（1月から3月）における「ソフトウェア等の脆弱性関連情報に関する届出状況」を発表した。

調査・レポート・白書・ガイドライン調査・ホワイトペーパー

2018.4.26 Thu 8:00

独立行政法人情報処理推進機構（IPA）および一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）は4月25日、2018年第1四半期（1月から3月）における「ソフトウェア等の脆弱性関連情報に関する届出状況」を発表した。

これによると、同四半期のIPAへの脆弱性関連情報の届出件数は、ソフトウェア製品に関するもの51件、Webサイト（Webアプリケーション）に関するもの87件の合計138件であった。届出受付開始（2004年7月8日）からの累計は、ソフトウェア製品に関するもの3,946件、Webサイトに関するもの9,715件の合計13,661件で、Webサイトに関する届出が引き続き全体の約7割を占めている。

同四半期にJVNで公表したソフトウェア製品の件数は50件（累計1,754件）で、このうち1件は製品開発者による自社製品の脆弱性の届出であった。また、修正完了したWebサイトの件数は37件（累計7,142件）で、これらは届出を受け、IPAがWebサイト運営者に通知を行い、今四半期に修正を完了したもの。修正を完了した37件のうち、Webアプリケーションを修正したものは33件（89％）、当該ページを削除したものは3件（8％）、運用で回避したものは1件（3％）であった。

ソフトウェア製品の種類別届出件数では、「Webアプリケーションソフト」が12件でもっとも多く、「スマートフォン向けアプリ」（8件）、「情報家電」（7件）と続いた。累計では、「Webアプリケーションソフト」がもっとも多く46％を占めた。脆弱性の原因別では、「Webアプリケーションの脆弱性」と「その他実装上の不備」がともに20件で、「証明書の検証に関する不備」が6件で続いた。影響別では、「任意のコマンドの実行（13件）」、「任意のスクリプトの実行（10件）」、「情報の漏えい（9件）」という順になっている。

《吉澤亨史（ Kouji Yoshizawa ）》