HOMEIPAについて新着情報プレス発表 脆弱性対策情報データベースJVN iPediaの登録状況 [2014年第4四半期(10月~12月)]

本文を印刷する

IPAについて

プレス発表 脆弱性対策情報データベースJVN iPediaの登録状況 [2014年第4四半期(10月~12月)]

~登録済みの産業用制御システムの脆弱性の57%が最も深刻度の高い「レベルⅢ(危険)」~

2015年1月27日
独立行政法人情報処理推進機構

 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)セキュリティセンターは、2014年第4四半期(10月~12月)の脆弱性対策情報データベース「JVN iPedia」(ジェイブイエヌ アイ・ペディア)の登録状況を「脆弱性対策情報データベースJVN iPediaに関する活動報告レポート」としてまとめました。

 URL:https://www.ipa.go.jp/security/vuln/report/JVNiPedia2014q4.html


 2014年第4四半期に、脆弱性対策情報データベース「JVN iPedia( http://jvndb.jvn.jp/ 別ウィンドウで開く )」日本語版に登録された脆弱性対策情報は3,072件で、2007年4月25日の公開開始からの登録件数は累計51,499件となりました。

脆弱性対策情報は更新情報も漏れなく収集し、対象製品に対策を

 2014年はOpenSSL、Apache Struts、Bashなど、広く利用されている製品の脆弱性対策情報が数多く公開されましたが、これらは、ルータ製品や Linuxサーバーなどの製品に組み込まれており、影響範囲が広く、深刻な脅威でした。JVN iPedia上では、これら製品の脆弱性対策情報が最初に公開されて以降、新たに対策が必要な情報が次々と追加されたため、当該製品の脆弱性対策情報が各10回以上も更新されました。こうしたケースは多々あるため、システム管理者は利用中の自システム内に対策が必要な製品が内在していないかを日々収集し(*1)、確認することが重要です。

産業用制御システムの脆弱性の57%が最も深刻度の高い「レベルⅢ(危険)」

 ドイツの製鉄所がサイバー攻撃によって工場設備に甚大な被害が発生したことが2014年12月に同国政府機関の報告書により明らかになるなど(*2)、産業用制御システムに対する脅威が現実化しています。2008年に初めてJVN iPediaに登録された産業用制御システムに関するソフトウェアの脆弱性対策情報は2014年までに累計597件となりました。このうち、CVSSの分類で最も深刻度の高いレベルⅢ(危険)が占める割合は57.0%となっています。
 産業用制御システムの管理者は、脆弱性対策情報を定期的に収集し、利用製品に脆弱性が存在していないかを日々確認するとともに、脆弱性が存在する場合、開発元や販売元にバージョンアップ等の対策方法の有無を確認し、速やかな対応の検討が必要です。また、直ちに対策することが困難な場合には、リスクの低減策や脅威の緩和策を図るなどの対応の検討が求められます(*3)


脚注

(*1) IPAではMyJVN脆弱性対策情報フィルタリング収集ツール(略称mjcheck3)を提供しています。
   http://jvndb.jvn.jp/apis/myjvn/mjcheck3.html 別ウィンドウで開く

(*2) ニュース記事「ドイツの製鉄所がハッキング攻撃で操業停止、ドイツ連邦電子情報保安局が報告書を公開」
   http://www.businessnewsline.com/news/201412230814210000.html 別ウィンドウで開く

(*3) 制御機器の脆弱性に関する注意喚起 http://www.ipa.go.jp/about/press/20120229.html

プレスリリースのダウンロード

レポートのダウンロード

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター 斉藤/関口

Tel: 03-5978-7527 Fax: 03-5978-7518 E-mail: 電話番号:03-5978-7527までお問い合わせください。

報道関係からのお問い合わせ先

IPA 戦略企画部 広報グループ 横山/白石

Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: 電話番号:03-5978-7503までお問い合わせください。