情報処理推進機構(IPA: Information-technology Promotion Agency, Japan)は4月21日、「ソフトウェア等の脆弱性関連情報に関する届出状況[2022年第1四半期(1月~3月)]:IPA 独立行政法人 情報処理推進機構」において、「2022年第1四半期におけるソフトウェア等の脆弱性に関する取扱状況」を公開した。これによると、この3カ月間に届出があったソフトウェア製品の脆弱性の件数は77件、Webアプリケーションの脆弱性の件数は99件で、合計176件だったという。
このレポートは、情報セキュリティ早期警戒パートナーシップ制度に基づいてIPAに届出があった、ソフトウェア製品やWebサイトの脆弱性関連情報の件数について集計した結果。同四半期の特徴としては、ソフトウェア製品よりもWebサイトに関して多くの届出があったことが挙げられている。届出受付開始日からの累計の届出件数は、ソフトウェア製品に関するものが5,085件、Webサイトに関するものが12,222件であり、Webサイトに関する届出が全体の約7割を占めている。
| 分類 | 本四半期の届出件数 | 累計の届出件数 |
|---|---|---|
| ソフトウェア製品 | 77件 | 5,085件 |
| Webサイト | 99件 | 12,222件 |
| 合計 | 176件 | 17,307件 |
-
脆弱性の届出件数の四半期ごとの推移 資料:IPA
ソフトウェア製品の脆弱性については、修正が完了するとその脆弱性の情報や対策方法などがJVNに公表される。同四半期中にJVNで公表したソフトウェア製品の件数は38件で、届出を受理してから45日以内にJVN公表に至った件数は全体の29%となる11件だったという。
Webサイトについては、同四半期中に59件が修正を完了しており、Webアプリケーションを修正して対処したものは47件(80%)、当該ページを削除して対処したものは12件(20%)、運用で回避したものは0件(0%)となっている。59件のうち、Webサイト運営者へ脆弱性情報を通知してから90日以内に修正が完了したものは97%となる57件だったとのことだ。
| 分類 | 本四半期の修正完了件数 | 累計の修正完了件数 |
|---|---|---|
| ソフトウェア製品 | 38件 | 2,390件 |
| Webサイト | 59件 | 8,261件 |
| 合計 | 97件 | 10,651件 |
情報セキュリティ早期警戒パートナーシップは、ソフトウェア製品およびWebアプリケーションに関する脆弱性関連情報の円滑な公表や対策の普及を促進するために、IPAおよびJPCERTコーディネーションセンター(JPCERT/CC)によって整備された公的機関と民間企業と連携している。脆弱性の発見者がその情報を届け出る際や、製品開発者およびWebサイト運営者が脆弱性に関する通知を受けた際などに実施するべき対応のガイドラインが定められている。
