情報処理推進機構(IPA)は1月19日、ぜい弱性対策情報データベース「JVN iPedia」の2009年第4四半期(10〜12月)の登録状況を公表した。よく知られた5種類のぜい弱性が占める割合が高く、アプリケーションのぜい弱性が増加しているのが特徴だ。
2009年に登録されたJVN iPediaのぜい弱性対策情報を分類すると、「バッファエラー」「リソース管理の問題」「許可、権限、アクセス制御の問題」「クロスサイトスクリプティング(XSS)」「不適切な入力確認」という5種類のぜい弱性が全体の60%以上を占めた。中でも、XSSや不適切な入力確認、コードインジェクションの比率が増加傾向にあったという。
第4四半期で件数の多かったぜい弱性は、バッファエラーが52件、リソース管理の問題が30件など。こうしたぜい弱性は広く知れ渡っており、IPAでは開発者が企画、設計段階からセキュリティを考慮する必要があると指摘している。
また、2009年全体で見た危険度別のぜい弱性の割合は、最も危険度の高いぜい弱性が44%、次に危険なぜい弱性が50%となっており、危険なぜい弱性が多く公開されている。そのためIPAでは、利用者が情報を日々収集し、パッチ適用などを行うことが必要だとしている。
2005年ごろまでOSのぜい弱性が増えていたが、それ以降は減少し、アプリケーションのぜい弱性が増加しているのも特徴だ。同様に、ネットワーク機器や携帯電話、DVDレコーダなど情報家電の組み込みソフトウェアのぜい弱性も公開されてきている。ほかにも、2008年からは重要インフラなどの監視制御システム(SCADA)のぜい弱性情報が公開されており、2009年には9件の情報が公開されている。
なお、第4四半期はDNS実装やJasmine、OpenSSL、Apache Tomcat、Lhaplus、Namazuなど、ぜい弱性対策情報の公開から時間が経過した情報に多数のアクセスがあった。また、簡単に製品のバージョンチェックができる「MyJVNバージョンチェッカ」やWindowsのセキュリティ設定をチェックする「MyJVNセキュリティ設定チェッカ」が公開されたことでJVN iPediaへのアクセス数が増加し、12月は月間100万アクセスを突破したという。
JVN iPediaに登録されているぜい弱性情報の件数は、同期で351件増加し、累計では7646件に達した。英語版も18件増加し、累計は498件になっている。その中で、ぜい弱性の深刻度を評価する共通ぜい弱性評価システム(CVSS)の計算を行うソフトウェアを多言語化し、これまでの英語、日本語以外に韓国語など5カ国語をサポートした。
