独立行政法人情報処理推進機構(IPA)は10月19日、「ソフトウェア等の脆弱性関連情報に関する届出状況[2023年第3四半期(7月~9月)]」を発表した。脆弱性の届出件数は一定の割合で増加している。
同四半期におけるソフトウェア製品に関する届出件数は55件(累計:5,586件)、ウェブアプリケーション(ウェブサイト)に関する届出は104件(累計:12,768件)で、合計159件(累計:18,354件)であった。引き続き、ウェブサイトに関する届出が全体の約7割を占めている。
脆弱性の修正完了状況では、同四半期にJVNが公表したソフトウェア製品の件数は54件で、ウェブサイトの件数は59件でであった。ウェブサイトの内訳では、ウェブアプリケーションを修正したものが46件(78%)、当該ページを削除したものが13件(22%)、運用で回避したものが0件(0%)となっている。
同四半期に届出された脆弱性の製品種類別の内訳は、「ウェブアプリケーション」(42%)、「ルータ」(9%)、「スマートフォン向けアプリ」(8%)が上位となっており、その割合は変わっていない。なお、オープンソースソフトウェアの割合は40%で、こちらも前四半期までの数字と変わらなかった。
脆弱性の原因別の内訳は、「ウェブアプリケーションの脆弱性(31件)」(54%)、「その他実装上の不備(17件)」(5%)、「ファイルのパス名、内容のチェックの不備」(4%)と、脆弱性が過半数を占めた。
脆弱性がもたらす影響別の内訳は、「任意のスクリプトの実行(20件)」、「情報の漏えい(6件)」が上位となった。累計では「任意のスクリプトの実行」が34%を占め、「任意のコマンド実行」(12%)、「情報の漏えい」(11%)が続いた。
ウェブサイトにおける脆弱性の種類別の内訳は、「クロスサイト・スクリプティング(52件)」(59%)、「ファイルの誤った公開(14件)」(11%)、「SQLインジェクション」という順番で多かった。累計で見ると、「クロスサイト・スクリプティング」が59%を占め、「SQLインジェクション」と「DNS情報の設定不備」がともに11%となっている。
ウェブサイトの脆弱性がもたらす影響別の届出状況は、「本物サイト上への偽情報の表示(52件)」が過半数を占め、「データの改ざん、消去(10件)」が継ぎ荷多かった。累計で見ると、「本物サイト上への偽情報の表示」、「データの改ざん、消去」、「ドメイン情報の挿入」が全体の約8割を占めている。
