IPA、2018年第4四半期のソフトウェア等の脆弱性関連情報に関する届出状況を発表
- 2019/01/28 10:00
- SecurityInsight
情報処理推進機構(IPA)は1月24日、2018年第4四半期におけるソフトウェア等の脆弱性関連情報に関する届出状況について発表した。その概要は以下のとおり。
当四半期のソフトウェア製品に関する届出件数は57件、ウェブアプリケーション(以下、ウェブサイト)に関する届出は36件、合計93件だった。届出受付開始からの累計は14,092件で、内訳はソフトウェア製品に関するもの4,226件、ウェブサイトに関するもの9,866件でウェブサイトに関する届出が全体の約7割を占めている。
JVN公表したソフトウェア製品の件数は64件(累計1,936件)。そのうち、15件は製品開発者による自社製品の脆弱性の届出だった。届出を受理してからJVN公表までの日数が45日以内のものは18件(28%)だった。また、JVN公表前に重要インフラ事業者へ脆弱性対策情報を優先提供したのは、2件(累計3件)だった。
修正完了したウェブサイトの件数は48件(累計7,346件)。修正を完了した48件のうち、ウェブアプリケーションを修正したものは42件(88%)、当該ページを削除したものは6件(12%)で、運用で回避したものはなかった。修正を完了した48件のうち、ウェブサイト運営者へ脆弱性関連情報を通知してから90日以内に修正が完了したものは36件(75%)だった。当四半期は、90日以内に修正完了した割合が、前四半期(105件中33件(31%))から増加した。
2018年において、個人情報やサーバーのパスワードなどの機密情報を含むファイルを誤ってインターネット上に公開している「ファイルの誤った公開」に関する届出は、不受理となったものを除き、18件だった。過去の届出傾向を見ると、2017年の届出件数は5件と比較的少ない件数となっているものの、2016年は30件もの届出を受け付けており、本来秘匿すべき情報を誤って公開しているウェブサイトが依然として存在することがうかがえる。
この問題は、ウェブサイトにおけるアクセス制限などの設定不備に起因している。ウェブサイトの新規公開や、利用するソフトウェアの入れ替えなど、多くの設定を必要とする作業では、このような設定不備が発生しやすく、特に注意が必要となる。