[調査・レポート]

OpenSSLをはじめ主要ソフトウェアで深刻な脆弱性―IPAの脆弱性対策レポートより

2014年7月24日(木)IT Leaders編集部

IPA(独立行政法人 情報処理推進機構)セキュリティセンターは2014年7月23日、2014年第2四半期(4月~6月)の脆弱性対策情報データベース「JVN iPedia」の登録状況を「脆弱性対策情報データベースJVN iPediaに関する活動報告レポート」としてまとめ、その概要を発表した。

 IPAセキュリティセンターの調べでは、2014年第2四半期にJVN iPediaの日本語版に登録された脆弱性対策情報は1699件。2007年4月25日の公開開始からの登録件数は累計4万6860件となっている。同四半期は、世界中でサイバー攻撃の危険が喚起された「OpenSSL」の脆弱性(「Heartbleed脆弱性」の通称で知られる、OpenSSLのheartbeat拡張における脆弱性)をはじめ、「Adobe Flash Player」「Internet Explorer」「Apache Struts」といった主要ソフトウェアの脆弱性に攻撃が観測され、OpenSSLについては国内においても情報漏洩被害が発生した。

図:2014年第2四半期に攻撃が観測された脆弱性を持つ製品の登録件数推移(出典:IPAセキュリティセンター)

 これらの主要ソフトウェアにおいて、2009年以降に登録された脆弱性対策情報979件のうち、深刻度の最も高いレベルIIIの割合が78%を占める。IPAによれば、ソフトウェア全体のレベルIIIの割合は43%であり、主要ソフトウェアの深刻度の高さがうかがえる。

 また、同レポートでは、Webサイトの構築・管理・運用に用いられるCMS(コンテンツ管理システム)の脆弱性対策情報の新規登録件数が2009年の117件をピークに減少が続き、2014年上半期ではわずか6件と激減していることも報告。「CMSの脆弱性悪用によるWebサイト改竄は再三繰り返されているが、今期の激減を見ると、脆弱性のある古いバージョンのCMSが利用され続けているために既知の脆弱性が残り、攻撃者に悪用されていると推測される」(IPAセキュリティセンター)としている。なお、同センターでは、2014年6月に古いバージョンのCMSの脆弱性を狙ったWebサイト改竄が横行したことを受け、CMSの利用者に注意喚起を行っている。

 同レポートの詳細は、IPAセキュリティセンターのWebページで公開されている。

関連キーワード

IPA / サイバー攻撃 / マルウェア対策 / OpenSSL

関連記事

OpenSSLをはじめ主要ソフトウェアで深刻な脆弱性―IPAの脆弱性対策レポートよりIPA(独立行政法人 情報処理推進機構)セキュリティセンターは2014年7月23日、2014年第2四半期(4月~6月)の脆弱性対策情報データベース「JVN iPedia」の登録状況を「脆弱性対策情報データベースJVN iPediaに関する活動報告レポート」としてまとめ、その概要を発表した。

PAGE TOP