2017年の脆弱性届出傾向、DLL読込が増加他--四半期レポート(IPA) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.02.23(金)

2017年の脆弱性届出傾向、DLL読込が増加他--四半期レポート(IPA)

調査・レポート・白書 調査・ホワイトペーパー

独立行政法人 情報処理推進機構(IPA)は1月25日、2017年第4四半期(10月から12月)における「ソフトウェア等の脆弱性関連情報に関する届出状況」を発表した。

これによると、同四半期のIPAへの脆弱性関連情報の届出件数は、ソフトウェア製品に関するもの37件、Webサイト(Webアプリケーション)に関するもの33件の合計70件であった。届出受付開始(2004年7月8日)からの累計は、ソフトウェア製品に関するもの3,895件、Webサイトに関するもの9,628件の合計13,523件で、Webサイトに関する届出が引き続き全体の約7割を占めている。

同四半期にJVNで公表したソフトウェア製品の件数は40件(累計1,704件)で、このうち6件は製品開発者による自社製品の脆弱性の届出であった。また、修正完了したWebサイトの件数は23件(累計7,105件)で、これらは届出を受け、IPAがWebサイト運営者に通知を行い、今四半期に修正を完了したもの。修正を完了した63件のうち、Webアプリケーションを修正したものは19件(82%)、当該ページを削除したものは4件(18%)、運用で回避したものはなかった。

JVNで公表した脆弱性について、2017年に公表したDLL読み込みの脆弱性は70件あり、2015年の4件、2016年の42件から著しく増加している。この脆弱性は、Windowsアプリケーションの実行時の動作を悪用するもので、ユーザの利用端末上で悪意あるコードを実行されるという点では危険な脆弱性であるといえる。

しかし、Windowsアプリケーションの実行時に、同じフォルダに悪意のあるDLLファイルを配置するという前提条件は現実的には厳しく、またユーザが適切に注意することで攻撃を防げるため、実際に悪用され、被害が報告された事例はほとんど確認されていない。ただし、攻撃が成功したときの影響が大きいため、注意喚起を発表した。
《吉澤 亨史》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×