情報処理推進機構(IPA)は10月22日、2012年第3四半期における脆弱性関連情報の届出状況を発表した。発表によると、7月~9月にIPAへ寄せられた脆弱性関連情報の件数は197件で、これにより、2004年7月の届出受付開始からの累計届出件数は7950件となっている。

同四半期の脆弱性関連の届出件数の内訳は、ソフトウェアに関するものが40件、Webサイト(Webアプリケーション)に関するものが157件。累計ではソフトウェア関連が1424件、Webサイト関連が6526件で、Webサイトに関する届出が全体の82%を占めている。

2012年第3四半期 脆弱性情報の届出件数(発表資料より)

過去3年間の届出件数(発表資料より)

また、同四半期に修正が完了した脆弱性の件数は、ソフトウェア関連が28件で、Webサイト関連が171件となっている。

ソフトウェアの脆弱性に関してはJPCERTコーディネーションセンター(JPCERT/CC)が調整を行って製品開発者による修正が行われており、修正が完了するとIPA、JPCERT/CCが共同運営する脆弱性対策情報ポータルサイト「Japan Vulnerability Notes(JVN)」で対策情報が公表される。また、Webサイトの脆弱性については、IPAがWebサイト運営者に修正を促すことで対策が行われている。

なお、第3四半期は、JVNで公開された対策情報に占めるスマートフォン関連製品の割合が前四半期に比べて大きく増加している。IPAは、スマートフォン関連製品に作りこまれやすい脆弱性が開発者に認知されはじめていることが、スマートフォン関連の脆弱性対策情報が急増した要因のひとつだと推測している。

2012年第3四半期 修正完了件数(発表資料より)

届出件数 / JVN公表件数に占めるスマートフォン関連製品の割合(発表資料より)

このほか第3四半期には、Webサイトの脆弱性について、悪意を持ったスクリプトによって偽ページの表示などが可能になってしまうWebサイトの「クロスサイト・スクリプティング(XSS)」に関する届出が138件あったという。これらの届出のうち19件はJavaScriptによってブラウザ上で動的にHTMLを操作する箇所に存在する「DOM(Document Object Model)ベースのXSS」の情報となっている。DOMベースのXSSによる脆弱性のほとんどは、Webサイト構築事業者が独自作成したJavaScriptライブラリに脆弱性が含まれていたことに起因するもので、このライブラリを使用した複数のWebサイトに同じ脆弱性が確認できたと発表されている。

IPAはWebサイト構築事業者やWebサイト運営者に対し、安全性が確認されているライブラリの使用に努めるとともに、脆弱性診断ツールなどによりWebサイト全体の脆弱性対策を行うように呼びかけている。

2012年第3四半期 DOMベースのXSSの割合