情報処理推進機構

情報処理推進機構(IPA)およびJPCERTコーディネーションセンター(JPCERT/CC)は7月23日、2015年第2四半期(4月~6月)の脆弱性関連情報の届出状況についてまとめた「ソフトウェア等の脆弱性関連情報の取扱いに関する活動報告レポート」を公開した。

同レポートによると、今期は42件の脆弱性対策情報がJVNに公表されており、そのうち攻撃者に遠隔操作される可能性がある脆弱性は12件で、全体の28.6%を占めたという。これらは、PCで利用するソフトウェア製品やサーバーで利用されるソフトウェア製品だった。これらの脆弱性を放置しておくと、PCやサーバーそのものが乗っ取られてしまう可能性があるため、注意が必要だ。

また、前述の12件のうち注意喚起を実施したのは7件。注意喚起は脆弱性の深刻度など複数の条件を勘案し決定されている。

利用者の多いソフトウェア製品に脆弱性が見つかったり、見つかった脆弱性が特定の業種で汎用的に利用されていたりする場合などは、攻撃の標的にされる可能性がある。加えて、脆弱性を悪用するプログラムや攻撃の手法がインターネット上に公開されてしまうと、攻撃が多発する場合がある。そのため、利用しているソフトウェア製品の脆弱性対策などが公開されたら、即座の対応が重要となる。ただし、サーバーに組込まれているソフトウェア製品の場合は修正によって不具合が生じる可能性があるため、事前にサーバーへの影響を確認し、対策の実施の判断を行う必要がある。