脆弱性関連情報、Webサイトの脆弱性は92％がXSS--IPA四半期レポート（IPA/ISEC）

脆弱性と脅威脅威動向

2011年10月25日（火） 08時00分

独立行政法人情報処理推進機構セキュリティセンター（IPA/ISEC）は10月21日、2011年第3四半期におけるソフトウェア等の脆弱性関連情報に関する届出状況を発表した。これによると、同四半期のIPAへの脆弱性関連情報の届出件数は、ソフトウェア製品に関するもの36件、Webアプリケーション（Webサイト）に関するもの198件の合計234件であった。届出受付開始（2004年7月8日）からの累計は、ソフトウェア製品に関するもの1,249件、Webサイトに関するもの5,642件の合計6,891件となっており、前四半期に続いてWebサイトに関する届出が全体の82％を占めている。運営主体は「企業」が全体の77％を占め、脆弱性の種類は「クロスサイトスクリプティング」（XSS）が最も多く、全体の92％を占めた。

ソフトウェア製品の脆弱性の届出に関して、JPCERT/CCが調整を行い、製品開発者が修正を完了し、2011年第3四半期にJVNで対策情報を公表したものは29件（累計545件）。このうち「クロスサイトスクリプティング」が11件で最も多かった。Webサイトの脆弱性関連情報の届出に関して、IPAがWebサイト運営者に通知を行い、2011年第3四半期に修正を完了したものは86件（累計3,596件）。修正完了した86件の内訳は、Webアプリケーションを修正したものが73件（85％）、当該ページを削除したものが13件（15％）であった。なお、修正完了した86件のうち55件（64％）は、届出から修正完了まで1年以上経過していた。
（吉澤亨史）

http://www.ipa.go.jp/security/vuln/report/vuln2011q3.html

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

Scan PREMIUM 会員限定記事特集をもっと見る

脆弱性関連情報、Webサイトの脆弱性は92％がXSS--IPA四半期レポート（IPA/ISEC）

脆弱性と脅威脅威動向

Scan PREMIUM 会員限定記事

PSIRT 構築にあたってのポイントと考え方

Drupal においてリクエストパラメータの値検証不備により遠隔から任意のコードが実行可能となる脆弱性（Scan Tech Report）

医療・教育・金融・保険・公共～産業別の個人情報漏えいリスク（The Register）

シリアの病院爆撃、遠隔医療支援時の英国人医師PCから情報窃取か（The Register）

ロシアが世界に仕掛ける「ハイブリッド戦」の鍵となる自称民主主義とサイバー戦闘力

Adobe Flash Player の Primetime SDK における Use-After-Free の脆弱性（Scan Tech Report）

カテゴリ別新着記事

Scan PREMIUM 会員限定記事

PSIRT 構築にあたってのポイントと考え方

Drupal においてリクエストパラメータの値検証不備により遠隔から任意のコードが実行可能となる脆弱性（Scan Tech Report）

医療・教育・金融・保険・公共 ～ 産業別の個人情報漏えいリスク（The Register）

シリアの病院爆撃、遠隔医療支援時の英国人医師PCから情報窃取か（The Register）

ロシアが世界に仕掛ける「ハイブリッド戦」の鍵となる自称民主主義とサイバー戦闘力

Adobe Flash Player の Primetime SDK における Use-After-Free の脆弱性（Scan Tech Report）

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

「Drupal」に、リモートからシステムデータを改変される新たな脆弱性（JPCERT/CC、IPA）

「Joruri Gw」に任意のファイルをアップロードされる脆弱性（JVN）

添付のPDFファイルをWebブラウザから開かせる偽Appleメールを確認（フィッシング対策協議会）

Appleが「Safari」「iOS」などのセキュリティアップデートを公開（JVN）

3月のアクセス観測状況、不正侵入等の発信元IPアドレス数が増加（警察庁）

Drupal においてリクエストパラメータの値検証不備により遠隔から任意のコードが実行可能となる脆弱性（Scan Tech Report）

インシデント・事故 記事一覧へ

保証人に送付した学費請求書の住所に誤り、個人情報が漏えい（横浜市立大学）

教職員用Webメールシステムに不正ログイン、大量の迷惑メールを送信（東北工業大学）

自動車税に係る個人情報の紛失が発覚（新潟県）

10代職員がマイナンバー事務で得た情報悪用し懲戒（横浜市）

体力測定値他48人分の個人情報が記録されたUSBメモリ紛失(京都橘大学)

教育情報ネットワークへの不正アクセス、新たに22,613人分が流出の可能性(前橋市)

調査・レポート・白書 記事一覧へ

Spring Data Commonsにおけるリモートコード実行の脆弱性を検証（NTTデータ先端技術）

脆弱性の届出、影響別では「任意のコマンド実行」が1位--四半期レポート（IPA、JPCERT/CC）

公開Webサイトの問い合わせフォームへ大量投稿する攻撃が継続（IPA）

Drupalにおけるリモートコード実行の脆弱性を検証（NTTデータ先端技術）

脆弱性情報の製品別登録件数、1位はDebian GNU/Linux、2位はAndroid（IPA）

フィルタリングを否定的に捉えている青少年の利用率は35.5％（総務省）

研修・セミナー・カンファレンス 記事一覧へ

PSIRT 構築にあたってのポイントと考え方

「セキュリティ・キャンプ全国大会2018」の参加募集を開始（IPA）

サイバーインテリジェンス入門～マキナレコード軍司氏講演

初心者向けハッキングハンズオン研修が盛況

エンドポイントへのサイバー攻撃を実体験するハンズオンセミナー開催、ジャパンネット銀行 CSIRT リーダー岩本氏 基調講演

トップとビリで売上3倍差！セキュリティへの取り組みが命運を分けた Hardening 2017 Fes

製品・サービス・業界動向 記事一覧へ

社外では復号できない、SBC環境向けファイル暗号化ソリューション（ALSI）

耐量子公開鍵暗号において、新たな安全性強化手法を開発（NTT）

制御指令を悪用したサイバー攻撃を検知する技術「InteRSePT」を製品化（三菱重工、NTT、NTTデータ、NTT Com）

中小企業のセキュリティ向上を包括支援、上限は年額7,000万円×3年（東京都、東京都中小企業団体中央会）

開発者と攻撃者の視点で学べる脆弱性のマイクロラーニングサービス（東陽テクニカ）

イスラエルのSecdo社を買収、防御の迅速化を実現する次世代EDRを統合（パロアルトネットワークス）

おしらせ 記事一覧へ

サイバーセキュリティ専門誌 ScanNetSecurity が創刊 20 周年記念し物理セキュリティジャンルに進出、自宅警備に特化した姉妹誌を4月1日新創刊

[配信予告] 情報漏えい事故後の謝罪記者会見ワークショップを取材しました

[配信予告] あの方に今年の Black Hat USA 2017 の見どころを聞きました

[配信予告] 新連載「Heart of Darknet - インターネット闇の奥」開始のおしらせ

[配信予告] 新連載「ペネトレーションテスターは見た！」開始のおしらせ

ScanNetSecurity 創刊 18 周年の御礼

医療・教育・金融・保険・公共～産業別の個人情報漏えいリスク（The Register）

脆弱性と脅威記事一覧へ

インシデント・事故記事一覧へ

調査・レポート・白書記事一覧へ

研修・セミナー・カンファレンス記事一覧へ

エンドポイントへのサイバー攻撃を実体験するハンズオンセミナー開催、ジャパンネット銀行 CSIRT リーダー岩本氏基調講演

製品・サービス・業界動向記事一覧へ

おしらせ記事一覧へ