深刻度の高い脆弱性が増加中--IPAがJVN iPediaの登録状況を公開

　独立行政法人 情報処理推進機構セキュリティセンター（IPA/ISEC）は7月8日、2008年第2四半期（4月1日から6月30日まで）における脆弱性対策情報データベース「JVN iPedia」の登録状況を明らかにした。製品開発者や利用者が現在の脆弱性の傾向を把握できるようにし、脆弱性対策を推進するのが狙いだ。

　JVN iPediaは、国内のソフトウェア製品開発者が公開している脆弱性対策情報や、脆弱性対策情報ポータルサイト「JVN」で公表した情報、米国国立標準技術研究所（NIST）の脆弱性データベース「NVD」が公開している情報の中から、日本国内で使用されている製品に関する情報を収集、翻訳し、公開しているデータベース。2007年4月25日に運用を開始した。

　2008年第2四半期の脆弱性対策情報の登録件数は、国内製品開発者から収集したものが8件、JVNから収集したものが24件、NVDから収集したものが266件で、合計298件であった。公開開始からの累計は、国内製品開発者から収集したものが52件、JVNから収集したもの472が件、NVDから収集したものが4518件の、合計5042件で、今四半期で5000件に達した。

　脆弱性の深刻度では、レベルIII（危険）が45％、レベルII（警告）が50％、レベルI（注意）が5％となっている。2004年以降、脆弱性対策情報の公開が急増しており、脆弱性の深刻度が高いものも多い。このため、製品利用者は情報を日々収集し、製品のバージョンアップやセキュリティ対策パッチの適用などをする必要があるとしている。

　脆弱性の種類では、バッファオーバーフロー、アクセス制御の不備、クロスサイト・スクリプティングなど、広く知れ渡っている脆弱性の対策情報が数多く公開されている。DoS攻撃やバッファオーバーフローの割合が特に高く、また最近ではクロスサイト・スクリプティングなどの割合が増加している。