IPA、2025年第1四半期のソフトウェア等の脆弱性関連情報に関する届出状況公表

　独立行政法人情報処理推進機構（IPA）は4月17日、ソフトウェア等の脆弱性関連情報に関する届出状況[2025年第1四半期（1月～3月）]を発表した。

　同四半期の脆弱性関連情報の届出状況について、ソフトウェア製品に関する届出件数は81件、ウェブアプリケーションに関する届出は18件の合計99件。届出受付開始からの累計は19,385件で、ソフトウェア製品に関するものが6,041件、ウェブアプリケーションに関するものが全体の約7割を占める13,344件。

　同四半期の脆弱性の修正完了状況について、JVNで公表したソフトウェア製品の件数は37件（累計2,949件）で、そのうち6件は製品開発者による自社製品の脆弱性の届出であった。届出を受理してからJVN公表までの日数が45日以内のものは10件（27%）で、JVN公表前に重要インフラ事業者等へ脆弱性対策情報を優先提供したのは4件（累計81件）だった。

　修正完了したウェブサイトの件数は20件（累計8,813件）で、そのうちウェブアプリケーションを修正したものは14件（70%）、当該ページを削除したものは6件（30%）、運用で回避したものは0件（0%）だった。修正を完了した20件のうち、ウェブサイト運営者へ脆弱性関連情報を通知してから90日以内に修正が完了したものは16件（80%）だった。

　国内の発見者および製品開発者から受けた届出について、同四半期にJVN公表した脆弱性のうち、オープンソースソフトウェアに関する脆弱性が4件（#1）、製品開発者自身から届けられた自社製品の脆弱性が5件（#2）、複数開発者・製品に影響がある脆弱性が1件（#3）、組み込みソフトウェア製品の脆弱性が5件（#4）あった。脆弱性の深刻度が緊急（CVSS 基本値=9.0～10.0）なものは、2月14日に公表した「「acmailer CGI」および「acmailer DB」におけるに OSコマンド・インジェクションの脆弱性」がCVSS基本値が9.8であった。