[調査・レポート]

2014年7月24日(木)IT Leaders編集部

リスト

　IPAセキュリティセンターの調べでは、2014年第2四半期にJVN iPediaの日本語版に登録された脆弱性対策情報は1699件。2007年4月25日の公開開始からの登録件数は累計4万6860件となっている。同四半期は、世界中でサイバー攻撃の危険が喚起された「OpenSSL」の脆弱性（「Heartbleed脆弱性」の通称で知られる、OpenSSLのheartbeat拡張における脆弱性）をはじめ、「Adobe Flash Player」「Internet Explorer」「Apache Struts」といった主要ソフトウェアの脆弱性に攻撃が観測され、OpenSSLについては国内においても情報漏洩被害が発生した。

図：2014年第2四半期に攻撃が観測された脆弱性を持つ製品の登録件数推移（出典：IPAセキュリティセンター）

　これらの主要ソフトウェアにおいて、2009年以降に登録された脆弱性対策情報979件のうち、深刻度の最も高いレベルIIIの割合が78％を占める。IPAによれば、ソフトウェア全体のレベルIIIの割合は43％であり、主要ソフトウェアの深刻度の高さがうかがえる。

　また、同レポートでは、Webサイトの構築・管理・運用に用いられるCMS（コンテンツ管理システム）の脆弱性対策情報の新規登録件数が2009年の117件をピークに減少が続き、2014年上半期ではわずか6件と激減していることも報告。「CMSの脆弱性悪用によるWebサイト改竄は再三繰り返されているが、今期の激減を見ると、脆弱性のある古いバージョンのCMSが利用され続けているために既知の脆弱性が残り、攻撃者に悪用されていると推測される」（IPAセキュリティセンター）としている。なお、同センターでは、2014年6月に古いバージョンのCMSの脆弱性を狙ったWebサイト改竄が横行したことを受け、CMSの利用者に注意喚起を行っている。

　同レポートの詳細は、IPAセキュリティセンターのWebページで公開されている。