開発者も利用者もぜい弱性情報に注意を--IPA、ぜい弱性対策情報DBの登録状況を公表

小山安博

2010-01-19 17:32

 情報処理推進機構(IPA)は1月19日、ぜい弱性対策情報データベース「JVN iPedia」の2009年第4四半期(10〜12月)の登録状況を公表した。よく知られた5種類のぜい弱性が占める割合が高く、アプリケーションのぜい弱性が増加しているのが特徴だ。

 2009年に登録されたJVN iPediaのぜい弱性対策情報を分類すると、「バッファエラー」「リソース管理の問題」「許可、権限、アクセス制御の問題」「クロスサイトスクリプティング(XSS)」「不適切な入力確認」という5種類のぜい弱性が全体の60%以上を占めた。中でも、XSSや不適切な入力確認、コードインジェクションの比率が増加傾向にあったという。

 第4四半期で件数の多かったぜい弱性は、バッファエラーが52件、リソース管理の問題が30件など。こうしたぜい弱性は広く知れ渡っており、IPAでは開発者が企画、設計段階からセキュリティを考慮する必要があると指摘している。

 また、2009年全体で見た危険度別のぜい弱性の割合は、最も危険度の高いぜい弱性が44%、次に危険なぜい弱性が50%となっており、危険なぜい弱性が多く公開されている。そのためIPAでは、利用者が情報を日々収集し、パッチ適用などを行うことが必要だとしている。

 2005年ごろまでOSのぜい弱性が増えていたが、それ以降は減少し、アプリケーションのぜい弱性が増加しているのも特徴だ。同様に、ネットワーク機器や携帯電話、DVDレコーダなど情報家電の組み込みソフトウェアのぜい弱性も公開されてきている。ほかにも、2008年からは重要インフラなどの監視制御システム(SCADA)のぜい弱性情報が公開されており、2009年には9件の情報が公開されている。

 なお、第4四半期はDNS実装やJasmine、OpenSSL、Apache Tomcat、Lhaplus、Namazuなど、ぜい弱性対策情報の公開から時間が経過した情報に多数のアクセスがあった。また、簡単に製品のバージョンチェックができる「MyJVNバージョンチェッカ」やWindowsのセキュリティ設定をチェックする「MyJVNセキュリティ設定チェッカ」が公開されたことでJVN iPediaへのアクセス数が増加し、12月は月間100万アクセスを突破したという。

 JVN iPediaに登録されているぜい弱性情報の件数は、同期で351件増加し、累計では7646件に達した。英語版も18件増加し、累計は498件になっている。その中で、ぜい弱性の深刻度を評価する共通ぜい弱性評価システム(CVSS)の計算を行うソフトウェアを多言語化し、これまでの英語、日本語以外に韓国語など5カ国語をサポートした。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    初心者にも優しく解説!ゼロトラストネットワークアクセスのメリットと効果的な導入法

  2. ビジネスアプリケーション

    Google が推奨する生成 AI のスタートアップガイド、 AI を活用して市場投入への時間を短縮

  3. セキュリティ

    「2024年版脅威ハンティングレポート」より—アジアでサイバー攻撃の標的になりやすい業界とは?

  4. ビジネスアプリケーション

    改めて知っておきたい、生成AI活用が期待される業務と3つのリスク

  5. ビジネスアプリケーション

    ITR調査結果から導くDX浸透・定着化-“9割の国内企業がDX推進中も成果が出ているのはごく一部”

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]