一般社団法人コンピュータソフトウェア協会

  1. Home >
  2. 最新情報 >
  3. アクティビティ >
  4. 官公庁・団体情報 >
  5. ソフトウェア等の脆弱性関連情報に関する届出状況[2018年第1四半期(1月~3月)]

ソフトウェア等の脆弱性関連情報に関する届出状況[2018年第1四半期(1月~3月)]

2018.04.27

省庁・団体名

独立行政法人情報処理推進機構

内容

1. 2018年第1四半期 ソフトウェア等の脆弱性関連情報に関する届出状況

1-1. 脆弱性関連情報の届出状況 ~脆弱性の届出件数の累計は13,661件~

 本四半期のソフトウェア製品に関する届出件数は51件、ウェブアプリケーション(以降「ウェブサイト」)に関する届出は87件、合計138件でした。届出受付開始からの累計は13,661件で、内訳はソフトウェア製品に関するもの3,946件、ウェブサイトに関するもの9,715件でウェブサイトに関する届出が全体の約7割を占めています。
 本四半期は、ソフトウェア製品よりもウェブサイトに関して多くの届出がありました。表1-2は過去3年間の四半期ごとの届出の累計および1就業日あたりの届出件数の推移です。本四半期末までの1就業日あたりの届出件数は4.08件でした。

1.2. 脆弱性の修正完了状況 ~ソフトウェア製品およびウェブサイトの修正件数は累計8,896件~

 ソフトウェア製品の場合、修正が完了するとJVNに公表しています(回避策の公表のみでプログラムの修正をしていない場合を含む)。
 本四半期にJVN公表したソフトウェア製品の件数は50件(累計1,754件)でした。そのうち、1件は製品開発者による自社製品の脆弱性の届出でした。なお、届出を受理してからJVN公表までの日数が45日以内のものは3件(6%)でした。
 また、修正完了したウェブサイトの件数は37件(累計7,142件)でした。修正を完了した37件のうち、ウェブアプリケーションを修正したものは33件(89%)、当該ページを削除したものは3件(8%)で、運用で回避したものは1件(3%)でした。なお、修正を完了した37件のうち、ウェブサイト運営者へ脆弱性関連情報を通知してから90日以内に修正が完了したものは29件(78%)でした。本四半期は、90日以内に修正完了した割合が、前四半期(23件中14件(61%))より増加しています。

1.3. 連絡不能案件の取扱状況

 本制度では、調整機関から連絡が取れない製品開発者を「連絡不能開発者」と呼び、連絡の糸口を得るため、当該製品開発者名等を公表して情報提供を求めています。製品開発者名を公表後、3ヶ月経過しても製品開発者から応答が得られない場合は、製品情報(対象製品の具体的な名称およびバージョン)を公表します。それでも応答が得られない場合は、情報提供の期限を追記します。情報提供の期限までに製品開発者から応答がない場合は、当該脆弱性情報の公表に向け、「情報セキュリティ早期警戒パートナーシップガイドライン」に定められた条件を満たしているかを公表判定委員会で判定します。その判定を踏まえ、IPAが公表すると判定した脆弱性情報はJVNに公表されます。
 本四半期は、連絡不能開発者として新たに製品開発者名を公表したものはありませんでした。
 本四半期末時点の連絡不能開発者の累計公表件数は251件になります。また、公表判定委員会での判定を経て、9件の脆弱性情報がJVNに公表されました。

資料のダウンロード

参考情報

詳細

お問い合わせ

IPA セキュリティセンター 渡辺/板橋
Tel: 03-5978-7527 Fax: 03-5978-7552

JPCERT/CC 脆弱性コーディネーショングループ 久保
Tel: 03-3518-4600 Fax: 03-3518-4602

公表日

2018年04月25日(水)