IPA(情報処理推進機構)セキュリティセンターは22日、2013年第4四半期(10~12月)の脆弱性関連情報の届出状況を公表した。2013年の1年間で脆弱性として受理したソフトウェア製品の約半数が、Android用アプリだった。IPAは、古いバージョンのアプリは速やかにアップデートするよう呼びかけている。
■届出件数が急増、2013年の修正完了率は過去最多
2013年第4四半期の脆弱性情報の届出件数は、ソフトウェア製品関連が88件、ウェブサイト(ウェブアプリケーション)関連が219件、計307件だった。これら届出のうち、同四半期のうちに修正を完了したものは、ソフトウェアでは34件(修正完了率54%)、ウェブサイトでは189件(修正完了率72%)だった。 2013年1年間でみると、ソフトウェア関連の届出は282件で、2012年の184件から大幅に増え、過去最多の2006年(285件)に匹敵する。その修正完了件数は127件で、過去最多となった。ウェブサイトの修正完了件数は759件で、2009年(1322件)に次いでいる。
■受理した脆弱性の約半数が「Androidアプリ」
2013年の1年間で脆弱性として受理したソフトウェア製品の届出253件のうち、約半数の117件はAndroidアプリ関連だった。初めてAndroidアプリの届出があった2011年は20件、2012年は32件で、いずれもソフトウェア届出全体の20%未満だった。2013年には件数も割合も急増していることがわかる。 IPAは21日にも、2013年第4四半期の「脆弱性対策情報データベースJVN iPediaの登録状況」を発表しているが、それによると、2013年末までに「JVN iPedia」に登録されたAndroid関連の脆弱性情報は累計で187件あり、その7割以上にあたる133件がAndroidアプリに関するものだった。脆弱性の種類別にみると、アプリが管理する重要な情報が読まれたり改ざんされたりするなど「認可・権限・アクセス制御」が32件、次いで「情報漏えい」が9件と、重要な情報を狙うタイプの脆弱性の登録が多い。カテゴリ別にみると、133件うち79件(59%)がブラウザやメールなどの通信アプリ、コミュニケーションを目的としたソーシャルネットワークのアプリで、これらを使い続けると、メッセージ内容、通信履歴、連絡先などの情報が漏えいする可能性がある。 IPAは、脆弱性が存在する古いバージョンのアプリを利用している場合は、速やかにアップデートするよう呼びかけている。
(2014/1/22 ネットセキュリティニュース)
【関連URL:IPA】 ・ソフトウェア等の脆弱性関連情報に関する届出状況[2013年第4四半期(10月~12月)] http://www.ipa.go.jp/security/vuln/report/vuln2013q4.html ・ソフトウェア等の脆弱性関連情報に関する活動状況レポート[PDF] http://www.ipa.go.jp/files/000036392.pdf ・脆弱性対策情報データベースJVN iPediaの登録状況 [2013年第4四半期(10月~12月)]http://www.ipa.go.jp/security/vuln/report/JVNiPedia2013q4.html