情報処理推進機構：情報セキュリティ：脆弱性対策情報データベースJVN iPediaの登録状況[2009年第2四半期(4月～6月)]

HOME >> 情報セキュリティ >> 脆弱性対策 >> 脆弱性対策情報データベースJVN iPediaの登録状況[2009年第2四半期(4月～6月)]

情報セキュリティ

脆弱性対策情報データベースJVN iPediaの登録状況

[2009年第2四半期(4月～6月)]

～共通脆弱性タイプ一覧CWEによる脆弱性の種類の分析を充実～

掲載日　2009年7月24日
>> ENGLISH

　IPA（独立行政法人情報処理推進機構、理事長：西垣浩司）は、2009年第2四半期（4月～6月）の脆弱性対策情報データベース「JVN iPedia」（ジェイブイエヌアイ・ペディア）の登録状況をまとめました。

　脆弱性対策情報データベース「JVN iPedia（ http://jvndb.jvn.jp/ ）」は、日本国内で使用されているソフトウェア製品の脆弱性対策情報を収集するためのデータベースを目指し、（1）国内のソフトウェア製品開発者が公開した脆弱性対策情報、（2）脆弱性対策情報ポータルサイトJVN^(*1)で公表した脆弱性対策情報、（3）米国立標準技術研究所NIST^(*2)の脆弱性データベース「NVD^(*3)」が公開した脆弱性対策情報、の中から情報を収集、翻訳し、2007年4月25日から公開しています。

(1)脆弱性対策情報の登録件数が累計6,666件となりました

　2009年第2四半期（2009年4月1日から6月30日まで）にJVN iPedia日本語版へ登録した脆弱性対策情報は、国内製品開発者から収集したもの1件（公開開始からの累計は74件）、JVNから収集したもの55件（累計670件）、NVDから収集したもの454件（累計5,922件）、合計510件（累計6,666件）でした。（表1、図1）。

　JVN iPedia英語版は、国内製品開発者から収集したもの1件（累計74件）、JVNから収集したもの24件（累計377件）、合計25件（累計451件）でした。

表1．2009年第2四半期の登録件数

	情報の収集元	登録件数	累計件数
日本語版	国内製品開発者	1 件	74 件
	JVN	55 件	670 件
	NVD	454 件	5,922 件
	計	510 件	6,666 件
英語版	国内製品開発者	1 件	74 件
	JVN	24 件	377 件
	計	25 件	451 件

図1.JVN iPediaの登録件数の四半期別推移

(2)脆弱性の種類を識別するためのCWE情報を拡充しました

　JVN iPediaでは、脆弱性の種類の識別に共通脆弱性タイプ一覧CWEを2008年9月より適用しています。また、2008年9月以前に登録した脆弱性対策情報に関してもCWE識別情報の拡充を続けており、現在、JVN iPediaに登録した脆弱性対策情報のうち、約4,400件の脆弱性対策情報についてCWEによる脆弱性の種類の識別や分析が可能となっています。

　更に、2009年6月18日に行ったJVN iPediaのバージョンアップでは、JVN iPediaが使用している19の脆弱性の種類について、CWEリストを日本語に翻訳しました。JVN iPediaの参考情報欄のCWE識別子をクリックすることで表示されます。また、「共通脆弱性タイプ一覧CWE概説」の4章のCWE識別子をクリックしても表示できます。

　CWEリストには、脆弱性の概要、攻撃の受けやすさ、一般的な脅威、脆弱性の軽減策、脆弱性の発生する具体的なコーディング例、当該脆弱性に起因する具体的な事例の紹介などを記述しており、脆弱性の低減を行い、再発を防止するための辞書としての活用が可能です。

(3)クロスサイト・スクリプティング、不適切な入力確認、コード・インジェクションの脆弱性の比率が増加傾向です

　図2に脆弱性が公開された年別の脆弱性の種類の推移を示します。毎年、CWE-119（バッファエラー）、CWE-399（リソース管理の問題）、CWE-264（認可・権限・アクセス制御の問題）、CWE-79（クロスサイト・スクリプティング）、CWE-20（不適切な入力確認）の5種類の脆弱性が全体の60％以上を占めています。

　また、CWE-79（クロスサイト・スクリプティング）、CWE-20（不適切な入力確認）、CWE-94（コード・インジェクション）の比率が増加傾向にあります。

　これらは広く知れ渡っている脆弱性の種類です。製品開発者は、これらの脆弱性に関してIPAが公開している「安全なウェブサイトの作り方」や「セキュア・プログラミング講座」などを参考に、ソフトウェア製品の企画・設計段階から情報セキュリティを考慮する必要があります。

図2.脆弱性が公開された年別の脆弱性の種類の推移

(4)脆弱性対策情報の自動収集に関して、製品開発者からの申込みを受付け中です

　JVN iPediaでは、国内のソフトウェア製品開発者が公開した脆弱性対策情報を網羅・蓄積し、利用者へ提供するために、JVNRSS^(*4)（Japan Vulnerability Notes RSS）形式で発信された情報の自動収集の試行を2009年4月28日から開始しています（図3）。

　このたび、脆弱性対策情報をJVNRSS形式で発信している組織を「製品開発者の発信する脆弱性対策情報の自動収集について（ http://www.ipa.go.jp/security/vuln/jvnrss.html ）」で公開しました。

　この仕組みを利用することにより、製品利用者へ広く脆弱性対策を促すことができます。また、IPAがこの脆弱性対策情報を英語に翻訳し、英語版JVN iPediaへ登録しますので、海外の製品利用者へも脆弱性対策を促すことができます。

　今後、より多くの製品開発者がこの取り組みに参加することを期待します。本取り組みの詳細や、参加申し込みに関しては「製品開発者の発信する脆弱性対策情報の自動収集について」に掲載した「JVNRSSを用いた脆弱性対策情報の発信ガイド」をご参照ください。

図3.製品開発者の発信する脆弱性対策情報の自動収集方法

(5)脆弱性対策情報のアクセス件数が月間40万件を突破しました

　DNS実装やウイルスセキュリティ、Apache Tomcat、OpenSSLなどの脆弱性対策情報は、脆弱性対策情報の公開から時間が経過しても多数のアクセスがあり、利用者が注目している情報となっています。

　また、iPhone OS、一太郎シリーズや、PHPまたは Perlを使用した製品など、よく使用されている製品で、近年公開した情報にも多数のアクセスがありました（表2）。

　JVN iPediaは6月に月間40万件を超えるアクセスがありました。今後も脆弱性対策情報を収集するためのデータベースとして広く活用されることを期待します。

1.脆弱性対策情報の登録状況
1.1 広く知れ渡っている種類の脆弱性対策情報が数多く公開されています

　図4は、JVN iPediaへ今四半期に登録した脆弱性対策情報を、CWEで分類した、脆弱性の種類ごとの件数です。

　件数が多い脆弱性の種類は、CWE-20（不適切な入力確認）が61件、CWE-79（クロスサイト・スクリプティング）が53件、CWE-119（バッファエラー）が51件、CWE-399（リソース管理の問題）が38件、CWE-189（数値処理の問題）が30件、CWE-264（認可・権限・アクセス制御の問題）が29件、CWE-94（コード・インジェクション）が21件などとなっています。

図4. 2009年第2四半期に登録した脆弱性の種類

1.2 JVN iPediaに登録済みの脆弱性の深刻度

　図5にJVN iPediaに登録済みの脆弱性について、製品開発者やセキュリティポータルサイト等が脆弱性対策情報を公開した日を基にした、脆弱性の深刻度の公開年別推移を示します。2004年以降、脆弱性対策情報の公開が急増しており、2008年まで増加傾向となっています。

　JVN iPediaでは、共通脆弱性評価システムCVSSにより、それぞれの脆弱性の深刻度を公表しています。2009年上半期（1月～6月）は、レベルIII（危険、CVSS基本値=7.0～10.0）が37%、レベルII（警告、CVSS基本値=4.0～6.9）が56%、レベルI（注意、CVSS基本値=0.0～3.9）が7%となっています。

　深刻度の高い脆弱性が多数公開されていることから、製品利用者は情報を日々収集し、製品のバージョンアップやセキュリティ対策パッチの適用などを遅滞なく行うことが必要です。

図5.脆弱性の深刻度の公開年別推移

1.3 JVN iPediaにて脆弱性対策情報を公表した製品の種類

　図6にJVN iPediaに登録済みの脆弱性について、その製品の種類の公開年別推移を示します。

　Internet Explorer、Firefox、Microsoft Officeなどのデスクトップアプリケーションや、Webサーバ、アプリケーションサーバ、データベースなどのミドルウェア、また、PHP、Java、GNUライブラリなどの開発・運用系など、アプリケーション・ソフトウェアの脆弱性対策情報の公開が年々増加しています。毎年、数多くのアプリケーションが新しく開発され、それらにおいて脆弱性が発見されており、アプリケーション・ソフトウェアのセキュリティ対策は特に重要となっています。

　Windows、Mac OS、UNIX、LinuxなどのOSに関しては、2005年頃までは脆弱性の公開件数が増加傾向にありましたが、2005年以降は公開件数が減少しています。OSに関しては、毎年脆弱性は発見されるものの、後継製品での脆弱性対策が迅速に施されているようです。

　2005年頃から、ネットワーク機器、携帯電話、DVDレコーダなどの情報家電など、組込みソフトウェアの脆弱性の対策情報が徐々に公開されています。

図6.脆弱性対策情報を公表した製品の種類の公開年別推移

1.4 オープンソースソフトウェアの割合

　図7にJVN iPediaに登録済みの脆弱性について、オープンソースソフトウェア（OSS）とOSS以外のソフトウェアの公開年別推移を示します。その割合は全体でOSSが32%、OSS以外が68%となっています。OSSの割合の年別推移を見ると、1998年から2003年までは上昇傾向でしたが、2004年に減少し、その後は大きな変化なく推移しています。

図7.オープンソースソフトウェア(OSS)とOSS以外の公開年別推移

1.5 ソフトウェア製品の開発者（ベンダー）の内訳

　JVN iPediaに登録済みのソフトウェア製品の開発者（ベンダー）に関して、図8にOSSのベンダーの内訳、図9にOSS以外のベンダーの内訳を示します。

　OSSは、国内ベンダーが56、海外ベンダー（日本法人有り）が21、海外ベンダー（日本法人無し）が201、合計278ベンダーとなっています。OSS以外は、国内ベンダーが99、海外ベンダー（日本法人有り）が57、海外ベンダー（日本法人無し）が38、合計194ベンダーとなっています。

　OSSに関しては、日本法人の無い海外ベンダーの脆弱性対策情報が数多く登録されています。OSSを利用する場合、製品のバージョンアップやセキュリティパッチの適用などのノウハウを持たない製品利用者は、製品のサポートサービスの活用、保守契約上の取り決め等の考慮が必要です。

図8.OSSのベンダーの内訳、図9.OSS以外のベンダーの内訳

2．脆弱性対策情報の活用状況

　表2は今四半期にアクセスの多かったJVN iPediaの脆弱性対策情報を、アクセス数の多い順番に上位20件まで示しています。DNS実装やウイルスセキュリティ、Apache Tomcat、OpenSSLなどは、脆弱性対策情報の公開から時間が経過しても多数のアクセスがあり、利用者が注目している情報となっています。iPhone OS、一太郎シリーズや、PHPまたは Perlを使用した製品など、よく使用されている製品で、近年公開した情報にも多数のアクセスがありました。

　表3は国内の製品開発者から収集した脆弱性対策情報のアクセス数上位5件を示しています。

表2.JVN iPediaの脆弱性対策情報のアクセス数上位20件

#	ID	タイトル	アクセス数	CVSS 基本値	公開日
1	JVNDB-2008-001495	複数のDNS実装にキャッシュポイズニングの脆弱性	1,510	6.4	2008/7/9
2	JVNDB-2008-000050	ウイルスセキュリティおよびウイルスセキュリティZEROにおけるサービス運用妨害(DoS)の脆弱性	1,411	4.3	2008/8/12
3	JVNDB-2005-000601	OpenSSLにおけるバージョン・ロールバックの脆弱性	1,203	2.6	2005/10/11
4	JVNDB-2009-000010	Apache Tomcatにおける情報漏えいの脆弱性	1,112	2.6	2009/2/26
5	JVNDB-2009-000040	iPhone OSにおけるサービス運用妨害(DoS)の脆弱性	1,005	7.8	2009/6/18
6	JVNDB-2009-000018	一太郎シリーズにおけるバッファオーバーフローの脆弱性	995	6.8	2009/4/7
7	JVNDB-2009-000032	複数のCisco Systems製品におけるディレクトリトラバーサルの脆弱性	943	10.0	2009/5/29
8	JVNDB-2006-000594	OpenSSLのSSL_get_shared_ciphers()関数におけるバッファオーバーフローの脆弱性	918	10.0	2006/9/28
9	JVNDB-2009-000016	futomi's CGI Cafe製高機能アクセス解析CGI Professional版における管理者権限奪取の脆弱性	907	7.5	2009/3/31
10	JVNDB-2008-000009	Apache Tomcatにおいて不正なCookieを送信される脆弱性	873	4.3	2008/2/12
11	JVNDB-2009-000017	XOOPS Cube Legacyにおけるクロスサイトスクリプティングの脆弱性	822	4.3	2009/4/2
12	JVNDB-2008-001807	OpenSSLのzlib_stateful_init関数におけるサービス運用妨害(DoS)の脆弱性	821	5.0	2008/7/10
13	JVNDB-2004-000554	Namazuにおけるクロスサイトスクリプティングの脆弱性	774	4.3	2004/12/15
14	JVNDB-2007-001017	Apache HTTP Serverの413エラーメッセージにおけるHTTPメソッドを適切に検査しない問題	750	4.3	2007/12/3
15	JVNDB-2008-000018	Namazuにおけるクロスサイトスクリプティングの脆弱性	721	4.3	2008/3/21
16	JVNDB-2009-001131	Adobe ReaderおよびAdobe Acrobatにおける任意のコードを実行される脆弱性	700	10.0	2009/3/18
17	JVNDB-2009-000019	LovPop.net製apricot.phpにおけるクロスサイトスクリプティングの脆弱性	684	4.3	2009/4/16
18	JVNDB-2008-001647	JasmineのWebLinkテンプレート実行時における複数の脆弱性	670	7.5	2008/8/14
19	JVNDB-2008-000084	PHPにおけるクロスサイトスクリプティングの脆弱性	643	2.6	2008/12/19
20	JVNDB-2009-000020	Movable Typeにおけるクロスサイトスクリプティングの脆弱性	642	4.3	2009/4/24

表3.国内の製品開発者から収集した脆弱性対策情報の中のアクセス数上位5件

#	ID	タイトル	アクセス数	CVSS 基本値	公開日
1	JVNDB-2008-001647	JasmineのWebLinkテンプレート実行時における複数の脆弱性	670	7.5	2008/8/14
2	JVNDB-2008-001150	JP1/秘文の暗号化/復号機能および持ち出し制御機能における正しく動作が行われない問題	419	3.6	2008/2/27
3	JVNDB-2008-001313	JP1/Cm2/Network Node Managerにおけるサービス運用妨害(DoS)の脆弱性	409	5.0	2008/4/4
4	JVNDB-2009-001135	富士通JasmineのWebLinkテンプレート実行におけるHTTPレスポンス分割の脆弱性	314	6.8	2009/2/19
5	JVNDB-2008-001895	JP1/VERITAS NetBackupのJAVA Administration GUIにおける特権昇格の脆弱性	301	6.5	2008/10/24

注1）CVSS基本値の深刻度による色分け

CVSS基本値=0.0～3.9
深刻度=レベルI（注意）

CVSS基本値=4.0～6.9
深刻度=レベルII（警告）

CVSS基本値=7.0～10.0
深刻度=レベルIII（危険）

注2）公開日の四半期による色分け

2008年3Q公開

2008年4Q公開

2009年1Q公開

2009年2Q公開

脚注

(*1)Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/

(*2)National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
http://www.nist.gov/

(*3)National Vulnerability Database。NISTが運営する脆弱性データベース。
http://nvd.nist.gov/home.cfm

(*4)IT利用者やシステム技術者が情報を効率的に収集できるように、JVNが採用しているRSS形式

資料のダウンロード

プレスリリース全文

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター　山岸／渡辺

Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail:

ページトップへ