危険な攻撃が横行、2014年4〜6月期の脆弱性状況

2014年上半期に登録されたOpenSSLやFlash Player、Internet Explorer、Apache Strutsに関する脆弱性は177件で、2013年通期の68％を占める規模になっている。

[ITmedia]

　情報処理推進機構（IPA）は7月23日、2014年4〜6月期における脆弱性対策情報データベース「JVN iPedia」の登録状況を発表した。期間中にはOpenSSLやFlash Player、Internet Explorer、Apache Strutsの脆弱性を突く攻撃が発生、脆弱性の登録件数も大幅に増加している。

　期間中に新たに登録された脆弱性情報は1699件で、2007年4月25日からの累計では4万6860件に達した。

　特に脆弱性悪用攻撃が確認された上記4製品に関する脆弱性情報の登録は、2014年1〜6月の半年間で177件あった。2013年通期は258件の登録があり、2014年通期では2013年を上回る可能性も予想される。

　共通脆弱性評価システム「CVSS」における深刻度別でみると、「危険」レベルの脆弱性の割合はソフトウェア全体では41％だったが、上記4製品では78％を占めた。上記4製品の脆弱性の種類別ではバッファエラーが43％で最も多く、以下はリソース管理（11％）、コードインジェクション（11％）、認可・権限・アクセス制御（6％）などとなっている。

　IPAではユーザーに対して「製品の自動更新機能を活用するなどアップデートに気づける設定管理を行い、迅速にアップデートを行うようにしてほしい」とアドバイスする。また、システム運営者には利用製品のバージョン管理を行い、運用ルールに従って迅速にアップデートできるようにしてほしいと呼び掛けている。