写真提供:マイナビニュース

写真拡大

IPAとJPCERT/CCは、4月から6月(2016年第2四半期)のソフトウェア等の脆弱性関連情報に関する活動報告レポートを公開した。

4月から6月の脆弱性関連情報に関する届出件数はソフトウェア製品が690件、Webアプリケーション(Webサイト)に関するものが63件の合計753件。累計でソフトウェア3,162件、Webサイトが9,263件となる。

今期件数では、ソフトウェア製品の届出件数が平均的な届出件数の約7倍にあたり、Webアプリケーションの届け出を大きく上回っている。ソフトウェア製品の種類別では、Webアプリケーションソフトが534件と最も多く、次いでルータの41件、スマートフォンアプリの23件と続いている。またレポートでは、オープンソースとそれ以外の区分で届出状況を示しているが累計では、45%がオープンソースであるところ、4月から6月では8割がオープンソースライセンスのソフトであったことも特徴的な傾向となる。

Webサイトの脆弱性の種類では、過去累計でクロスサイト・スクリプティングが56%を占めるが、今四半期も同様に6割を占める35件、次いでSQLインジェクションの5件が届けられている。そのほか、この四半期のJVNでの公表を行った脆弱性の深刻度レベル別でのリストや情報源へのリンクも掲載してある。

ウェブサイト運営者
・「知っていますか?脆弱性( ぜいじゃくせい)」
・「 安全なウェブサイトの作り方」
・「 安全な SQL の呼び出し方」
・「 Web Application Firewall 読本」
・「 安全なウェブサイトの構築と運用管理に向けての 16 ヶ条 〜セキュリティ対策のチェックポイント〜」
・「 IPA 脆弱性対策コンテンツリファレンス」
・「ウェブ健康診断仕様」
・「動画で知ろう!クロスサイト・スクリプティングの被害!」

一般のインターネットユーザー向け
・「 MyJVN 情報収集ツール」
・「 MyJVN バージョンチェッカ」

製品開発者向け
・「 組込みシステムのセキュリティへの取組みガイド( 2010 年度改訂版)」
・「 ファジング:製品出荷前に機械的に脆弱性をみつけよう」
・「 Android アプリの脆弱性の学習・点検ツール AnCoLe」

なお、IPAおよびJPCERT/CCはソフトウェア製品及びウェブアプリケーションに関する脆弱性関連情報の円滑な流通、対策の普及を図るためルールに基づく官民の連携体制として「情報セキュリティ早期警戒パートナーシップガイドライン」も公開している。

(長岡弥太郎)