ソフトウェア等の脆弱性関連情報に関する届出状況[2023年第4四半期(10月~12月)]
1.ソフトウェア等の脆弱性に関する取扱状況(概要)
1-1.脆弱性関連情報の届出状況
脆弱性の届出件数の累計は18,663件
表1-1は情報セキュリティ早期警戒パートナーシップ脚注1における本四半期の脆弱性関連情報の届出件数、および届出受付開始(2004年7月8日)から本四半期末までの累計を示している。本四半期のソフトウェア製品に関する届出件数は85件、ウェブアプリケーション(以下、ウェブサイト)に関する届出は225件、合計310件。届出受付開始からの累計は18,663件で、内訳はソフトウェア製品に関するもの5,670件、ウェブサイトに関するもの12,993件でウェブサイトに関する届出が全体の約7割を占めている。
図1-1は過去3年間の届出件数の四半期ごとの推移を示したもの。本四半期は、ソフトウェア製品よりもウェブサイトに関して多くの届出があった。表1-2は過去3年間の四半期ごとの届出の累計および1就業日あたりの届出件数の推移。本四半期末までの1就業日あたりの届出件数は3.93件脚注2であった。
表1-1.届出件数
| ソフトウェア製品 | 本四半期件数85件 累計5,670件 |
|---|---|
| ウェブサイト | 本四半期件数225件 累計12,993件 |
| 合計 | 本四半期件数310件 累計18,663件 |
表1-2.届出件数(過去3年間)
| 2021 | 累計届出件数[件] 1Q:16,475 2Q:16,778 3Q:16,982 4Q:17,130 1就業日あたり[件/日] 1Q:4.04 2Q:4.06 3Q:4.05 4Q:4.02 |
| 2022 | 累計届出件数[件] 1Q:17,302 2Q:17,468 3Q:17,683 4Q:17,842 1就業日あたり[件/日] 1Q:4.01 2Q:3.99 3Q:3.98 4Q:3.97 |
| 2023 | 累計届出件数[件] 1Q:18,025 2Q:18,195 3Q:18,353 4Q:18,663 1就業日あたり[件/日] 1Q:3.95 2Q:3.94 3Q:3.92 4Q:3.93 |
また、図1-2は、届出受付開始から2023年12月末までの届出件数の年ごとの推移。過去、最も届出が多かった年は、「クロスサイト・スクリプティング」と「DNS情報の設定不備」に関して多くの届出がなされた2008年(2,622件)であった。2023年はソフトウェア製品が316件、ウェブサイトが505件の合計821件であった。ウェブサイトがソフトウェア製品の届出件数を上回り全体の62%を占めている。また昨年と比べて、ソフトウェア製品の届出は減少し、ウェブサイトの届出は増加した。
1-2.脆弱性の修正完了状況
ソフトウェア製品およびウェブサイトの修正件数は累計11,352件
表1-3は本四半期、および届出受付開始から本四半期末までのソフトウェア製品とウェブサイトの修正完了件数を示している。ソフトウェア製品の場合、修正が完了すると(回避方法の策定のみでプログラムを修正しない場合を含む)、脆弱性情報や対策方法などをJVNに公表している。
本四半期にJVN公表したソフトウェア製品の件数は49件(累計2,691件)。そのうち、8件は製品開発者による自社製品の脆弱性の届出であった。なお、届出を受理してからJVN公表までの日数が45日以内のものは18件(37%)。また、JVN公表前に重要インフラ事業者等へ脆弱性対策情報を優先提供したのは、0件(累計69件)。
修正完了したウェブサイトの件数は54件(累計8,661件)。修正を完了した54件のうち、ウェブアプリケーションを修正したものは47件(87%)、当該ページを削除したものは7件(13%)で、運用で回避したものは0件(0%)。なお、修正を完了した54件のうち、ウェブサイト運営者へ脆弱性関連情報を通知してから90日脚注3以内に修正が完了したものは46件(85%)であった。
また、図1-3は、届出開始から2023年12月末までの修正完了件数の年ごとの推移を示している。過去、修正を完了した件数が最も多かった年は2009年の1,401件であった。2023年は、ソフトウェア製品が203件、ウェブサイトが242件の合計445件であった。
表1-3.修正完了(JVN公表)
| ソフトウェア製品 | 本四半期件数49件 累計2,691件 |
|---|---|
| ウェブサイト | 本四半期件数54件 累計8,661件 |
| 合計 | 本四半期件数103件 累計11,352件 |
1-3.連絡不能案件の取扱状況
本制度では、調整機関から連絡が取れない製品開発者を連絡不能開発者と呼び、連絡の糸口を得るため、当該製品開発者名等を公表して情報提供を求めている脚注4。製品開発者名を公表後、3ヶ月経過しても製品開発者から応答が得られない場合は、製品情報(対象製品の具体的な名称およびバージョン)を公表する。それでも応答が得られない場合は、情報提供の期限を追記する。情報提供の期限までに製品開発者から応答がない場合は、当該脆弱性情報の公表に向け、情報セキュリティ早期警戒パートナーシップガイドラインに定められた条件を満たしているかを公表判定委員会脚注5で判定する。その判定を踏まえ、IPAが公表すると判定した脆弱性情報はJVNに公表される。
本四半期は、連絡不能開発者として新たに製品開発者名を公表したものはなかった。本四半期末時点の連絡不能開発者の累計公表件数は251件になる。
脚注
- 脚注1情報セキュリティ早期警戒パートナーシップガイドライン
- 脚注21就業日あたりの届出件数は、「累計届出件数」/「届出受付開始からの就業日数」にて算出。
- 脚注3対処の目安は、ウェブサイト運営者が脆弱性の通知を受けてから、3ヶ月以内としている。
- 脚注4連絡不能開発者一覧
- 脚注5連絡不能案件の脆弱性情報を公表するか否かを判定するためにIPAが組織する。 法律、サイバーセキュリティ、当該ソフトウェア製品分野の専門的な知識や経験を有する専門家、かつ、当該案件と利害関係のない者で構成されている。
