脆弱性関連情報の届出状況

 届出累計が 約 6,000 件！



脅威的な届出件数

届出開始から約

4

年間で約

2

千件、ここ

1

年間で 約

3

千件

1

日に平均

4.6

件の届出＇最大

142

件

/

日、

2008

年

11

月

7

日（

37 46 49 66 52 69 54 60 51 43 39

96 95 103 80 244 208

509

1430

801

386

465 511 560 626 678 747 801 861 912 955 994 131

845 940 1,043 1,123 1,367 1,575

2,084 3,514

4,315 4,701 4,832

0 1,000 2,000 3,000 4,000 5,000

0 200 400 600 800 1000 1200 1400

1Q 2007

2Q 3Q 4Q 1Q

2008

2Q 3Q 4Q 1Q

2009

2Q 3Q

累 計 件 数 四

半 期 件 数

ソフトウェア製品 ウェブサイト

ソフトウェア製品＇累計（

ウェブサイト＇累計（

66%

6%

3%

3%

3%

2%

13%

4%

ウェブアプリケーションの脆弱性

バッファのチェックの不備 アクセス制御の不備 仕様上の不備

ファイルのパス名、内容のチェッ クの不備 セキュリティコンテキストの適用の不備 その他実装上の不備

その他ウェブに関連する不備

ソフトウェア製品 脆弱性届出の原因別内訳

 原因は「ウェブアプリケーションの脆弱性」が最多



「ウェブアプリケーションソフト」以外のソフトウェア製品で あっても、ウェブブラウザから管理・使用するものが多く、

そこに脆弱性が存在

48%

10%

7%

6%

5%

4%

3%

3% 2% 2% 2% 8%

任意のスクリプトの実行

情報の漏洩 なりすまし

任意のコードの実行 サービス不能

任意のコマンドの実行 アクセス制限の回避

任意のファイルへのア クセス 通信の不正中継

データベースの不正操作 認証情報の漏洩

その他

ソフトウェア製品の脆弱性として IPA に届けられ受理した 846 ^件の内訳

 脅威は「任意のスクリプトの実行」が約半分を占める



これはソフトウェア製品として届けられた脆弱性の種類が、

クロスサイト・スクリプトの脆弱性であることに起因

ソフトウェア製品 脆弱性届出の脅威別内訳

43%

28%

15%

2% 2% 2% 2% 6%

クロスサイト・スクリプティング

DNS

情報の設定不備

SQL

インジェクション

HTTPS

の不適切な利用 ファイルの誤った公開

HTTP

レスポンス分割 ディレクトリ・トラバーサル その他

ウェブサイトの脆弱性として IPA に届けられ受理した 4,708 ^件の内訳

 ウェブサイト脆弱性の種類は「クロスサイト・スクリ

プティング」「 SQL インジェクション 」「 DNS 情報の設定 不備」が全体の８６％を占める

ウェブサイト 脆弱性届出の種類別内訳

39%

28%

15%

4%

4% 3% 2% 2% 3%

本物サイト上への偽情報の表示 ドメイン情報の挿入

データの改ざん、消去

Cookie

情報の漏洩 個人情報の漏洩

サーバ内ファイルの漏洩

利用者のセキュリティレベルの低下 ウェブキャッシュ情報のすり替え その他

ウェブサイトの脆弱性として IPA に届けられ受理した 4,708 ^件の内訳

 ウェブサイト脆弱性の脅威は「本物サイト上への 偽情報の表示」「ドメイン情報の挿入」「データの

改ざん、消去」の順で、上位 3 つは届出の種類と一致

ウェブサイト 脆弱性届出の脅威別内訳

ドキュメント内 2009 年度 IPA 情報セキュリティセミナー 技術コース標準編 本テキストの pdf ファイルは よりダウンロードできます Copyright 2009 独立行政法人情報 (ページ 54-59)