1. HOME
  2. article
  3. 脆弱性の届出件数の累計は17,465件ソフトウェア等の脆弱性関連情報に関する届出状況[2022年第2四半期(4月~6月)]

脆弱性の届出件数の累計は17,465件
ソフトウェア等の脆弱性関連情報に関する届出状況[2022年第2四半期(4月~6月)]

IPA(独立行政法人情報処理推進機構)セキュリティセンターは、2022年第2四半期(4月~6月)ソフトウェア等の脆弱性関連情報に関する届出状況を公表した。

1. ソフトウェア等の脆弱性に関する取扱状況(概要)

1-1. 脆弱性関連情報の届出状況

 ~脆弱性の届出件数の累計は17,465件~

 表1-1は情報セキュリティ早期警戒パートナーシップ(*1)における本四半期の脆弱性関連情報の届出件数、および届出受付開始(2004年7月8日)から本四半期末までの累計を示している。本四半期のソフトウェア製品に関する届出件数は75件、ウェブアプリケーション(以降「ウェブサイト」)に関する届出は88件、合計163件。届出受付開始からの累計は17,465件で、内訳はソフトウェア製品に関するもの5,157件、ウェブサイトに関するもの12,308件でウェブサイトに関する届出が全体の約7割を占めている。

 図1-1は過去3年間の届出件数の四半期ごとの推移を示したもの。本四半期は、ソフトウェア製品よりもウェブサイトに関して多くの届出があった。表1-2は過去3年間の四半期ごとの届出の累計および1就業日あたりの届出件数の推移。本四半期末までの1就業日あたりの届出件数は3.99件(*2)であった。

IPA ソフトウェア等の脆弱性関連情報に関する届出状況[2022年第2四半期(4月~6月)]

1-2. 脆弱性の修正完了状況

 ~ソフトウェア製品およびウェブサイトの修正件数は累計10,707件~

 表1-3は本四半期、および届出受付開始から本四半期末までのソフトウェア製品とウェブサイトの修正完了件数を示している。ソフトウェア製品の場合、修正が完了すると(回避方法の策定のみでプログラムを修正しない場合を含む)、脆弱性情報や対策方法などをJVNに公表した。

 本四半期にJVN公表したソフトウェア製品の件数は27件(累計2,417件)。そのうち、4件は製品開発者による自社製品の脆弱性の届出であった。なお、届出を受理してからJVN公表までの日数が45日以内のものは6件(22%)。また、JVN公表前に重要インフラ事業者等へ脆弱性対策情報を優先提供したのは、2件(累計56件)であった。

 修正完了したウェブサイトの件数は29件(累計8,290件)。修正を完了した29件のうち、ウェブアプリケーションを修正したものは25件(86%)、当該ページを削除したものは4件(14%)で、運用で回避したものは0件(0%)であった。なお、修正を完了した29件のうち、ウェブサイト運営者へ脆弱性関連情報を通知してから90日(*3)以内に修正が完了したものは28件(97%)。

IPA ソフトウェア等の脆弱性関連情報に関する届出状況[2022年第2四半期(4月~6月)]

1-3. 連絡不能案件の取扱状況

 本制度では、調整機関から連絡が取れない製品開発者を「連絡不能開発者」と呼び、連絡の糸口を得るため、当該製品開発者名等を公表して情報提供を求めている(*4)。製品開発者名を公表後、3ヶ月経過しても製品開発者から応答が得られない場合は、製品情報(対象製品の具体的な名称およびバージョン)を公表する。それでも応答が得られない場合は、情報提供の期限を追記する。情報提供の期限までに製品開発者から応答がない場合は、当該脆弱性情報の公表に向け、「情報セキュリティ早期警戒パートナーシップガイドライン」に定められた条件を満たしているかを公表判定委員会(*5)で判定する。その判定を踏まえ、IPAが公表すると判定した脆弱性情報はJVNに公表される。

 本四半期は、連絡不能開発者として新たに製品開発者名を公表したものはなかった。本四半期末時点の連絡不能開発者の累計公表件数は251件になる。

脚注の解説

(*1) 情報セキュリティ早期警戒パートナーシップガイドライン
https://www.ipa.go.jp/security/ciadr/partnership_guide.html
https://www.jpcert.or.jp/vh/index.html

(*2) 1就業日あたりの届出件数は、「累計届出件数」/「届出受付開始からの就業日数」にて算出。

(*3) 対処の目安は、ウェブサイト運営者が脆弱性の通知を受けてから、3ヶ月以内としている。

(*4) 連絡不能開発者一覧:
https://jvn.jp/reply/index.html

(*5) 連絡不能案件の脆弱性情報を公表するか否かを判定するためにIPAが組織する。
法律、サイバーセキュリティ、当該ソフトウェア製品分野の専門的な知識や経験を有する専門家、かつ、当該案件と利害関係のない者で構成されている。

資料のダウンロード

参考情報

関連記事

サイバーセキュリティの課題をテーマ別に紹介中!!