スマホアプリに関する脆弱性、85％が「アクセス制限の実装上の不備」……IPA第1四半期レポート

ブロードバンドセキュリティ

2012年4月24日（火） 08時00分

注目記事

独立行政法人情報処理推進機構セキュリティセンター（IPA/ISEC）は4月23日、2012年第1四半期におけるソフトウェア等の脆弱性関連情報に関する届出状況を発表した。これによると、同四半期のIPAへの脆弱性関連情報の届出件数は、ソフトウェア製品に関するもの53件、Webアプリケーション（Webサイト）に関するもの216件の合計269件であった。届出受付開始（2004年7月8日）からの累計は、ソフトウェア製品に関するもの1,339件、Webサイトに関するもの6,242件の合計7,581件となっており、前四半期に続いてWebサイトに関する届出が全体の82％を占めた。運営主体は「企業（株式・非上場）」が全体の79％を占め、脆弱性の種類は「クロスサイトスクリプティング」（XSS）が最も多く、全体の89％を占めた。

ソフトウェア製品の脆弱性の届出に関して、JPCERT/CCが調整を行い、製品開発者が修正を完了し、2012年第1四半期にJVNで対策情報を公表したものは26件（累計606件）。Webサイトの脆弱性関連情報の届出に関して、IPAがWebサイト運営者に通知を行い、2012年第1四半期に修正を完了したものは218件（累計4,073件）であった。また、スマートフォンアプリに関する届出は、2011年第3四半期より行われるようになり、今四半期までに合計34件が届出られた。スマートフォンアプリに関する脆弱性届出の85％は、「アクセス制限の実装上の不備」により情報漏えいにつながる脆弱性となった。この傾向から、スマートフォンアプリの開発において、これら「アクセス制限の実装」に対する考慮が見落とされやすいとしている。なお今四半期は、「アクセス制限の実装上の不備」に起因する脆弱性の届出について、製品開発者と調整をした結果JVNで3件の脆弱性対策情報を公表している。

脆弱性件数は全体的に減少も、スマートフォンは増加--IPA四半期レポート（IPA/ISEC）

《吉澤亨史@ScanNetSecurity》