ソフトウェア等の脆弱性関連情報に関する届出状況2025年第4四半期（10月～12月）情報セキュリティ

--- > [!NOTE] 目次 ```table-of-contents title: minLevel: 0 maxLevel: 0 includeLinks: true ``` --- > [!NOTE] リスト掲載用文字列 - [ソフトウェア等の脆弱性関連情報に関する届出状況[2025年第4四半期（10月～12月）] | 情報セキュリティ](https://www.ipa.go.jp/security/reports/vuln/software/2025q4.html)【IPA】(2026年01月23日) --- > [!NOTE] この記事の要約（箇条書き） - 2025年第4四半期（10月～12月）のソフトウェア等の脆弱性関連情報に関する報告書がIPAセキュリティセンターより公開されました。 - 脆弱性関連情報の届出は、2025年12月末時点で累計19,859件に達しました。 - 本四半期（10月～12月）の届出は合計250件（ソフトウェア製品162件、ウェブサイト88件）でした。 - 累計ではウェブサイトの届出が約7割を占める一方、本四半期はソフトウェア製品の届出がウェブサイトを上回りました。 - 2025年の年間届出は610件で、ウェブサイトは減少、ソフトウェア製品は増加傾向にあります。 - 脆弱性の修正完了件数は累計12,007件です。 - 本四半期の修正完了は合計109件（ソフトウェア製品83件、ウェブサイト26件）でした。 - ウェブサイトの修正完了の88%は、通知から90日以内に完了しました。 - 連絡不能な製品開発者として新たに公表された案件は本四半期にはなく、累計公表件数は251件となっています。 > [!NOTE] 要約おわり --- 情報セキュリティ ![](https://www.ipa.go.jp/common/img/security/security_mv_sp.png) ## ソフトウェア等の脆弱性関連情報に関する届出状況\[2025年第4四半期（10月～12月）\] 公開日：2026年1月22日独立行政法人情報処理推進機構セキュリティセンター ## 1.ソフトウェア等の脆弱性に関する取扱状況（概要） ### 1-1.脆弱性関連情報の届出状況 #### 脆弱性の届出件数の累計は19,859件表1-1は情報セキュリティ早期警戒パートナーシップ [脚注1](https://www.ipa.go.jp/security/reports/vuln/software/#footnote) における本四半期の脆弱性関連情報の届出件数、および届出受付開始（2004年7月8日）から本四半期末までの累計を示しています。本四半期のソフトウェア製品に関する届出件数は162件、ウェブアプリケーション（以下、ウェブサイト）に関する届出は88件、合計250件でした。届出受付開始からの累計は19,859件で、内訳はソフトウェア製品に関するもの6,392件、ウェブサイトに関するもの13,467件でウェブサイトに関する届出が全体の約7割を占めています。図1-1は過去3年間の届出件数の四半期ごとの推移を示したものです。本四半期は、ウェブサイトよりもソフトウェア製品に関して多くの届出がありました。表1-2は過去3年間の四半期ごとの届出の累計および1就業日あたりの届出件数の推移です。本四半期末までの1就業日あたりの届出件数は3.80件 [脚注2](https://www.ipa.go.jp/security/reports/vuln/software/#footnote) でした。 | ソフトウェア製品 | 本四半期件数 162件累計 6,392件 | | --- | --- | | ウェブサイト | 本四半期件数 88件累計 13,467件 | | 合計 | 本四半期件数 250件累計 19,859件 | - ![図1-1. 脆弱性の届出件数の四半期ごとの推移](https://www.ipa.go.jp/security/reports/vuln/software/omgdg50000007gdr-img/omgdg50000007glw.png) 図1-1. 脆弱性の届出件数の四半期ごとの推移 | 2023 | 累計届出件数\[件\] - 1Q:18,026 - 2Q:18,191 - 3Q:18,346 - 4Q:18,651 1就業日あたり\[件/日\] - 1Q:3.95 - 2Q:3.94 - 3Q:3.92 - 4Q:3.93 | | --- | --- | | 2024 | 累計届出件数\[件\] - 1Q:18,858 - 2Q:18,970 - 3Q:19,086 - 4Q:19,249 1就業日あたり\[件/日\] - 1Q:3.93 - 2Q:3.90 - 3Q:3.88 - 4Q:3.86 | | 2025 | 累計届出件数\[件\] - 1Q:19,348 - 2Q:19,448 - 3Q:19,609 - 4Q:19,859 1就業日あたり\[件/日\] - 1Q:3.84 - 2Q:3.81 - 3Q:3.79 - 4Q:3.80 | また、図1-2は、届出受付開始から2025年12月末までの届出件数の年ごとの推移です。過去、最も届出が多かった年は、「クロスサイト・スクリプティング」と「DNS情報の設定不備」に関して多くの届出がなされた2008年（2,622件）でした。2025年はソフトウェア製品が432件、ウェブサイトが178件の合計610件でした。ウェブサイトがソフトウェア製品の届出件数を上回り全体の71%を占めています。また昨年と比べて、ウェブサイトの届出は減少し、ソフトウェア製品の届出は増加しました。 - ![図1-2. 脆弱性の届出件数の年ごとの推移](https://www.ipa.go.jp/security/reports/vuln/software/omgdg50000007gdr-img/omgdg50000007h70.png) 図1-2. 脆弱性の届出件数の年ごとの推移 ### 1-2.脆弱性の修正完了状況 #### ソフトウェア製品およびウェブサイトの修正件数は累計12,007件表1-3は本四半期、および届出受付開始から本四半期末までのソフトウェア製品とウェブサイトの修正完了件数を示しています。ソフトウェア製品の場合、修正が完了すると（回避方法の策定のみでプログラムを修正しない場合を含む）、脆弱性情報や対策方法などをJVNに公表しています。本四半期にJVN公表したソフトウェア製品の件数は83件（累計3,116件）でした。そのうち、6件は製品開発者による自社製品の脆弱性の届出でした。なお、届出を受理してからJVN公表までの日数が45日以内のものは8件（10%）でした。また、JVN公表前に重要インフラ事業者等へ脆弱性対策情報を優先提供したのは、6件（累計87件）でした。修正完了したウェブサイトの件数は26件（累計8,891件）でした。修正を完了した26件のうち、ウェブアプリケーションを修正したものは23件（88%）、当該ページを削除したものは3件（12%）で、運用で回避したものは0件（0%）でした。なお、修正を完了した26件のうち、ウェブサイト運営者へ脆弱性関連情報を通知してから90日 [脚注3](https://www.ipa.go.jp/security/reports/vuln/software/#footnote) 以内に修正が完了したものは23件（88%）でした。また、図1-3は、届出開始から2025年12月末までの修正完了件数の年ごとの推移を示しています。過去、修正を完了した件数が最も多かった年は2009年の1,401件でした。2025年は、ソフトウェア製品が204件、ウェブサイトが98件の合計302件でした。 - ![図1-3. 脆弱性の修正完了件数の年ごとの推移](https://www.ipa.go.jp/security/reports/vuln/software/omgdg50000007gdr-img/omgdg50000007h7y.png) 図1-3. 脆弱性の修正完了件数の年ごとの推移 | ソフトウェア製品 | 本四半期件数 83件累計 3,116件 | | --- | --- | | ウェブサイト | 本四半期件数 26件累計 8,891件 | | 合計 | 本四半期件数 109件累計 12,007件 | ### 1-3. 連絡不能案件の取扱状況本制度では、調整機関から連絡が取れない製品開発者を連絡不能開発者と呼び、連絡の糸口を得るため、当該製品開発者名等を公表して情報提供を求めています [脚注4](https://www.ipa.go.jp/security/reports/vuln/software/#footnote) 。製品開発者名を公表後、3ヶ月経過しても製品開発者から応答が得られない場合は、製品情報（対象製品の具体的な名称およびバージョン）を公表します。それでも応答が得られない場合は、情報提供の期限を追記します。情報提供の期限までに製品開発者から応答がない場合は、当該脆弱性情報の公表に向け、情報セキュリティ早期警戒パートナーシップガイドラインに定められた条件を満たしているかを公表判定委員会 [脚注5](https://www.ipa.go.jp/security/reports/vuln/software/#footnote) で判定します。その判定を踏まえ、IPAが公表すると判定した脆弱性情報はJVNに公表されます。本四半期は、連絡不能開発者として新たに製品開発者名を公表したものはありませんでした。本四半期末時点の連絡不能開発者の累計公表件数は251件になります。 ## 脚注 1. 脚注1 2. 脚注2 1就業日あたりの届出件数は、「累計届出件数」/「届出受付開始からの就業日数」にて算出。 3. 脚注3 対処の目安は、ウェブサイト運営者が脆弱性の通知を受けてから、3ヶ月以内としています。 4. 脚注4 [連絡不能開発者一覧別ウィンドウで開く](https://jvn.jp/reply/index.html) 5. 脚注5 連絡不能案件の脆弱性情報を公表するか否かを判定するためにIPAが組織します。法律、サイバーセキュリティ、当該ソフトウェア製品分野の専門的な知識や経験を有する専門家、かつ、当該案件と利害関係のない者で構成されています。 ## 資料のダウンロード - [ソフトウェア等の脆弱性関連情報に関する届出状況(PDF:1010 KB) 別ウィンドウで開く](https://www.ipa.go.jp/security/reports/vuln/software/omgdg50000007gdr-att/vuln_software_report_2025q4.pdf) ## 参考情報 - [ソフトウェア等の脆弱性関連情報に関する届出状況](https://www.ipa.go.jp/security/reports/vuln/software/index.html) ## お問い合わせ先 IPA セキュリティセンター渡辺／板橋 - TEL 03-5978-7527 - FAX 03-5978-7552 - E-mail JPCERT/CC（ジェイピーサートシーシー）早期警戒グループ椎木／洞田 - TEL 03-6271-8901 - FAX 03-6271-8908 - E-mail ## 更新履歴 - 掲載