独立行政法人情報処理推進機構(以下、IPA)は4月18日、2024年第1四半期(1月~3月)のソフトウェア等の脆弱性関連情報に関する届出状況を公開した。
①脆弱性関連情報の届出状況
届出件数の累計は1万8904件
図表1は情報セキュリティ早期警戒パートナーシップにおける本四半期の脆弱性関連情報の届出件数、および届出受付開始(2004年7月8日)から本四半期末までの累計を示している。
それによれば、ソフトウェア製品に関する届出件数は85件、ウェブアプリケーション(以下、ウェブサイト)に関する届出は158件で、合計243件。届出受付開始からの累計は1万8904件で、内訳はソフトウェア製品に関するもの5752件、ウェブサイトに関するもの1万3152件で、ウェブサイトに関する届出が全体の約7割を占めている。
図表2は過去3年間の届出件数の四半期ごとの推移を示す。本四半期は、ソフトウェア製品よりもウェブサイトに関して多くの届出があった。
図表3は過去3年間の四半期ごとの届出の累計および1就業日あたりの届出件数の推移である。本四半期末までの1就業日あたりの届出件数は3.94件であった。
②脆弱性の修正完了状況
ソフトウェア製品とウェブサイトの修正件数は累計1万1444件
図表4は本四半期、および届出受付開始から本四半期末までのソフトウェア製品とウェブサイトの修正完了件数を示している。
ソフトウェア製品の場合、修正が完了すると(回避方法の策定のみでプログラムを修正しない場合を含む)、脆弱性情報や対策方法などをJVNに公表している。
本四半期にJVN公表したソフトウェア製品の件数は58件(累計2749件)であった。そのうち、4件は製品開発者による自社製品の脆弱性の届出であった。
なお、届出を受理してからJVN公表までの日数が45日以内のものは11件(19%)。また、JVN公表前に重要インフラ事業者等へ脆弱性対策情報を優先提供したのは、4件(累計73件)であった。
修正が完了したウェブサイトの件数は34件(累計8,695件)。修正を完了した34件のうち、ウェブアプリケーションを修正したものは29件(85%)、当該ページを削除したものは4件(12%)で、運用で回避したものは1件(3%)であった。
なお、修正を完了した34件のうち、ウェブサイト運営者へ脆弱性関連情報を通知してから90日脚注3以内に修正が完了したものは25件(74%)であった。
◎JVN(Japan Vulnerability Notes)
経済産業省が告示している「ソフトウェア等脆弱性関連情報取扱基準」を受けて、国内の製品開発者の脆弱性対応状況を公開するサイト。 JPCERT/CC とIPAにより共同運営されている。
https://jvn.jp/index.html
③連絡不能案件の取扱状況
連絡不能開発者として新たに製品開発者名を公表した例はなし
この制度では、調整機関から連絡が取れない製品開発者を連絡不能開発者と呼び、連絡の糸口を得るため、当該製品開発者名等を公表して情報提供を求めている。
製品開発者名を公表後、3カ月経過しても製品開発者から応答が得られない場合は、製品情報(対象製品の具体的な名称およびバージョン)を公表する。それでも応答が得られない場合は、情報提供の期限を追記する。
情報提供の期限までに製品開発者から応答がない場合は、当該脆弱性情報の公表に向け、情報セキュリティ早期警戒パートナーシップガイドラインに定められた条件を満たしているかを公表判定委員会で判定する。その判定を踏まえ、IPAが公表すると判定した脆弱性情報はJVNに公表される。
本四半期は、連絡不能開発者として新たに製品開発者名を公表したものはなかった。本四半期末時点の連絡不能開発者の累計公表件数は251件。また、公表判定委員会での判定を経て、6件の脆弱性情報がJVNに公表された。
[i Magazine・IS magazine]
