IPAとJPCERT/CC、2015年第2四半期の脆弱性関連情報の届出状況まとめ

～今期JVNに公表された42件の脆弱性対策情報の内、12件（28.6%）は遠隔操作される可能性～

　IPA（独立行政法人情報処理推進機構、理事長：藤江 一正）およびJPCERT/CC（一般社団法人JPCERTコーディネーションセンター、代表理事：歌代 和正）は、2015年第2四半期（4月～6月）の脆弱性関連情報の届出状況(*1)を「ソフトウェア等の脆弱性関連情報の取扱いに関する活動報告レポート」としてまとめました。

https://www.ipa.go.jp/security/vuln/report/vuln2015q2.html
https://www.jpcert.or.jp/report/press.html

脆弱性届出件数
　今期の脆弱性情報の届出件数は163件で、内訳はソフトウェア製品に関するものが88件で累計2,123件、ウェブサイト（ウェブアプリケーション）に関するものが75件で累計8,939件でした。これにより、2004年7月の届出受付開始からの累計は11,062件となりました。

脆弱性修正完了件数
　届出のうち今期に修正を完了したものは、ソフトウェア製品が42件で累計1,042件、ウェブサイトは158件で累計6,352件でした。ソフトウェア製品とウェブサイトの修正の累計は7,394件でした。また、累計での届出受理数に占める修正完了数の割合は、前者が57％、後者が73％(*2 )でした。

脆弱性の傾向：遠隔操作されてしまう可能性のある脆弱性に注意（レポート1-4.参照）
　今期は、42件の脆弱性対策情報がJVNに公表されました。そのうち攻撃者に遠隔操作される可能性がある脆弱性は12件で、28.6%を占めました。これらは、PCで利用するソフトウェア製品やサーバーで利用されるソフトウェア製品でした。これらの脆弱性を放置しておくと、PCやサーバーそのものが乗っ取られてしまう可能性があります。
　また、前述の12件のうち注意喚起を実施したのは7件でした。注意喚起は脆弱性の深刻度など複数の条件を勘案し決定しています。
　なお、基本的にソフトウェア利用者には脆弱性対策の実施が求められますが、必要に応じて脆弱性対策による影響を事前に確認する必要があります。

(*1)ソフトウェア等脆弱性関連情報取扱基準：経済産業省告示に基づき、2004年7月より開始しました。IPAは届出受付・分析、JPCERT/CCは国内の製品開発者などの関連組織との調整を行っています。
(*2) 受理したソフトウェア製品の届出件数1,836件のうち修正完了は1,042件、受理したウェブサイトの届出件数8,743件のうち修正完了は6,352件。