IPA(独立行政法人情報処理推進機構)はJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は2016年1月27日、2015年第4四半期(10~12月)の脆弱性情報に関する調査結果を発表した。それによると、今期の脆弱性情報の届出件数は221件で、内訳はソフトウェア製品に関するものが134件で累計2376件、ウェブサイトに関するものが87件で累計9118件となった。これにより、2004年7月の届出受付開始からの累計は1万1494件に達した(図)。
IPAでは、届出のうち今期に修正を完了した件数も公開。それによると、ソフトウェア製品が52件で累計1147件、ウェブサイトが84件で累計6565件となった。ソフトウェア製品とウェブサイトの修正の累計は7712件。累計での届出受理数に占める修正完了数の割合は、ソフトウェアが56%、ウェブサイトが74%に達しているという。
また、IPAでは、今期にJVNで公表した52件の脆弱性情報のうち9件は、家庭用ルーター、ネットワークカメラなどの組み込み機器の脆弱性だったと指摘。中でも、今期は意図しない設定変更や操作を自ら実行してしまう可能性のある「クリックジャッキング」という脆弱性がはじめてJVNで公表されたという。IPAが確認したところ、2016年1月21日時点で7社のルータでこの脆弱性の存在が確認されているという。
IPAでは、組み込み機器のウェブアプリケーション開発などを手掛けている企業の場合では、要件定義、設計、開発といった各工程の仕様の明確化、出荷前検査等の対策が、自社の組織だけでなく、委託先の企業や組織にも求められると指摘。あわせて、利用者には、修正プログラム適用の周知と必要性を啓発することが重要という。利用者が容易に適用できるような工夫をメーカーがすることも大切と指摘している。
[IPAの発表資料へ]
