IPA(独立行政法人情報処理推進機構)は1月28日、2008年第4四半期(10月~12月)の脆弱性対策情報データベース「JVN iPedia」の登録状況を公開した。
JVN iPediaは、国内のソフトウェア製品開発者が公開した脆弱性対策情報、脆弱性対策情報ポータルサイト「JVN」で公表した脆弱性対策情報、NIST(米国立標準技術研究所)の脆弱性データベース「NVD」が公開した脆弱性対策情報から情報を収集、翻訳したもの。
2008年第4四半期に登録された脆弱性対策情報の件数は、国内の製品開発者から収集したもの6件、JVNから収集したもの67件、NVDから収集したもの440件、合計513件だった。公開開始(2007年4月25日)からの累計は、国内製品開発者から収集したもの68件、JVNから収集したもの584件、NVDから収集したもの5,208件に上り、合計5,860件となっている。
今四半期に登録した脆弱性は、認可・権限・アクセス制御の脆弱性が61件、クロスサイト・スクリプティングが52件、不十分な入力確認が51件、バッファエラーが49件、リソース管理の問題が48件など、すでに広く知られているものばかりである。
JVN iPediaに登録済みの脆弱性のうち、31%がオープンソースソフトウェア(OSS)、69%がOSS以外のソフトウェアだという。OSSの年別推移は、1998年から2003年までは上昇傾向だったが、2003年をピークに、その後は低下している。
JVN iPediaのアクセス数は月に20万件を超えているが、今四半期の脆弱性対策情報のアクセス数の特徴としては、2008年に公開されたMovable Type、EC-CUBE、Blosxomなどのコンテンツ管理を行うための製品に関する情報へのアクセスが多かったことが挙げられている。コンテンツ管理製品の脆弱性情報へのアクセス件数は以下のとおり。
- Movable Typeにおけるクロスサイトスクリプティングの脆弱性→2,284件
- Blosxomにおけるクロスサイトスクリプティングの脆弱性→1,995件
- EC-CUBEにおける SQL インジェクションの脆弱性→1,578件