HOMEIPAについて新着情報プレス発表 脆弱性対策情報データベース JVN iPedia の登録状況 [2014年第3四半期(7月~9月)]

本文を印刷する

IPAについて

プレス発表 脆弱性対策情報データベース JVN iPedia の登録状況 [2014年第3四半期(7月~9月)]

~Android関連の脆弱性対策情報登録件数のうち84%が「SSL証明書を適切に検証しない脆弱性」~

2014年10月23日
独立行政法人情報処理推進機構

 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)セキュリティセンターは、2014年第3四半期(7月~9月)の脆弱性対策情報データベース「JVN iPedia」(ジェイブイエヌ アイ・ペディア)の登録状況を「脆弱性対策情報データベースJVN iPediaに関する活動報告レポート」としてまとめました。

 URL: https://www.ipa.go.jp/security/vuln/report/JVNiPedia2014q3.html


 2014年第3四半期に、脆弱性対策情報データベース「JVN iPedia( http://jvndb.jvn.jp/ 別ウィンドウで開く )」日本語版に登録された脆弱性対策情報は1,567件で、2007年4月25日の公開開始からの登録件数は累計48,427件となりました。

Android関連の脆弱性対策情報登録件数のうち84%が「SSL証明書を適切に検証しない脆弱性」

 本四半期に登録されたAndroidに関する脆弱性対策情報は144件で、その内121件は「SSL証明書を適切に検証しない脆弱性」でした。IPAでは複数のAndroidアプリに同様の脆弱性が存在しているとして開発者に対し、注意喚起(*1)を2014年9月19日に発信しました。
 Androidアプリの開発者は、「AnCoLe (*2)」などのツールを用いてSSL通信の実装不備の有無を点検し、不備がある場合は速やかに修正してアップデート版を公開してください。

脆弱性を識別するCVE番号の下4桁が、4桁のほか5桁以上にも拡張予定

 CVE番号(*3)は、米MITRE(マイター)社(*4)が管理する、脆弱性を一意に識別するための番号です。米国時間2014年9月17日に、同社よりCVE番号のフォーマットの改変、および新フォーマットに沿った採番が、遅くとも米国時間2015年1月13日(火)までに実施開始される旨、公表されました。これにより、下4桁が従来の4桁のほか5桁以上でも採番される予定です。(拡張後の採番例:CVE-201X-12345)。
 これによりIPAでも新フォーマットによるCVE番号の運用を順次開始します。自組織で独自に作成されたプログラム等でMyJVN APIなどを参照している場合、5桁以上のCVE番号でも運用できるよう、システムに影響がないかを確認してください。

脚注

(*1) プレス発表 【注意喚起】HTTPSで通信するAndroidアプリの開発者はSSLサーバー証明書の検証処理の実装を
   http://www.ipa.go.jp/about/press/20140919_1.html

(*2) Androidアプリの脆弱性の学習・点検ツール AnCoLe  http://www.ipa.go.jp/security/vuln/ancole/index.html

(*3) 共通脆弱性識別子CVE(Common Vulnerabilities and Exposures) http://www.ipa.go.jp/security/vuln/CVE.html

(*4) MITRE Corporation:米国政府向けの技術支援や研究開発を行う非営利組織 http://www.mitre.org/別ウィンドウで開く

プレスリリースのダウンロード

レポートのダウンロード

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター 関口/斉藤

Tel: 03-5978-7527 Fax: 03-5978-7518 E-mail: 電話番号:03-5978-7527までお問い合わせください。

報道関係からのお問い合わせ先

IPA 戦略企画部 広報グループ 横山/白石

Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: 電話番号:03-5978-7503までお問い合わせください。