脆弱性対策情報データベースJVN iPediaの登録状況
[2009年第3四半期(7月〜9月)]
〜脆弱性対策情報の登録件数が累計7,000件を突破〜
掲載日 2009年10月15日
>> ENGLISH
IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、2009年第3四半期(7月〜9月)の脆弱性対策情報データベース「JVN iPedia」(ジェイブイエヌ アイ・ペディア)の登録状況をまとめました。
脆弱性対策情報データベース「JVN iPedia( http://jvndb.jvn.jp/ )」は、日本国内で使用されているソフトウェア製品の脆弱性対策情報を収集するためのデータベースを目指し、(1)国内のソフトウェア製品開発者が公開した脆弱性対策情報、(2)脆弱性対策情報ポータルサイトJVN(*1)で公表した脆弱性対策情報、(3)米国国立標準技術研究所NIST(*2)の脆弱性データベース「NVD(*3)」が公開した脆弱性対策情報、の中から情報を収集、翻訳し、2007年4月25日から公開しています。
(1)脆弱性対策情報の登録件数が7,000件を突破しました
2009年第3四半期(2009年7月1日から9月30日まで)にJVN iPedia日本語版へ登録した脆弱性対策情報は、国内製品開発者から収集したもの9件(公開開始からの累計は83件)、JVNから収集したもの28件(累計698件)、NVDから収集したもの592件(累計6,514件)、合計629件(累計7,295件)で、脆弱性対策情報の登録件数が累計7,000件を突破しました。(表1、図1)。
JVN iPedia英語版は、国内製品開発者から収集したもの9件(累計83件)、JVNから収集したもの21件(累計398件)、合計30件(累計481件)でした。
表1.2009年第3四半期の登録件数
| 情報の収集元 | 登録件数 | 累計件数 | |
|---|---|---|---|
| 日本語版 | 国内製品開発者 | 9 件 |
83 件 |
| JVN | 28 件 |
698 件 |
|
| NVD | 592 件 |
6,514 件 |
|
| 計 | 629 件 |
7,295 件 |
|
| 英語版 | 国内製品開発者 | 9 件 |
83 件 |
| JVN | 21 件 |
398 件 |
|
| 計 | 30 件 |
481 件 |
(2)JVN iPediaが、CVE互換の認定プロセスに入りました
共通脆弱性識別子CVE(Common Vulnerabilities and Exposures)(*4)は、個別製品中の脆弱性を対象として、米国政府の支援を受けた非営利団体のMITRE社が採番している識別子です。1999年の運用開始以来、2009年9月29日に10周年を迎えました。
脆弱性検査ツールや脆弱性対策情報提供サービスの多くがCVEを利用しています。個別製品中の脆弱性に一意の識別番号「CVE識別番号(CVE-ID)」を付与することにより、同じ脆弱性に関する対策情報であることの判断や、対策情報同士の相互参照、および関連付けに利用することが可能です。
IPAではCVEとの連携の意思を明確に示すため、2008年12月にJVN iPedia及び、脆弱性対策情報収集ツールMyJVNの「CVE互換宣言」を行いました。さらに、2009年9月に、「CVE互換」の認定を受けるため「CVE互換要件評価フォーム」をMITRE社へ提出しました(*5)。審査終了後、「CVE互換」が認定される予定です。
(JVN iPedia)http://cve.mitre.org/compatible/questionnaires/106.html
(MyJVN) http://cve.mitre.org/compatible/questionnaires/105.html
今後も共通基準の導入を進めることにより、国内外の脆弱性対策情報流通の促進を図ると共に、利用者側の客観的・効率的な脆弱性対策を目指した利活用基盤を整備していきます。
(3)脆弱性対策情報の自動収集に関して、製品開発者からの申込みを受付け中です
JVN iPediaでは、JVNRSS(*6)(Japan Vulnerability Notes RSS)形式で発信された情報の自動収集の試行を、2009年4月28日から開始しています。
脆弱性対策情報について、JVNRSS形式で発信している組織を「製品開発者の発信する脆弱性対策情報の自動収集について( http://www.ipa.go.jp/security/vuln/jvnrss.html )」で公開しており、今四半期には株式会社日立製作所に加え、日本電気株式会社、富士通株式会社のJVNRSSが2.0対応となりました。
この仕組みを利用することにより、製品利用者へ広く脆弱性対策を促すことができますので、今後、より多くの製品開発者がこの取り組みに参加することを期待します。
本取り組みの詳細や、参加申し込みに関しては「製品開発者の発信する脆弱性対策情報の自動収集について」に掲載した「JVNRSSを用いた脆弱性対策情報の発信ガイド」をご参照ください。
(4)脆弱性対策情報のアクセス件数が月間50万件を突破しました
今四半期は、DNS実装やOpenSSL、Apache Tomcat、ウイルスセキュリティなど、脆弱性対策情報の公開から時間が経過したものも多数のアクセスがあり、利用者が注目している情報となっています。また、FreeNAS、ATOKや、PHPまたは Perlを使用した製品など、よく使用されている製品で、近年公開した情報にも多数のアクセスがありました。
JVN iPediaは9月に月間50万件を超えるアクセスがありました。1年前に比べると約3倍に増加しています。今後も利用者が脆弱性対策情報を収集するためのデータベースとして広く活用することを期待します。
1.脆弱性対策情報の登録状況
1.1 広く知れ渡っている種類の脆弱性対策情報が数多く公開されています
図2は、JVN iPediaへ今四半期に登録した脆弱性対策情報を、CWEで分類した、脆弱性の種類ごとの件数です。
件数が多い脆弱性は、CWE-119(バッファエラー)が83件、CWE-79(クロスサイト・スクリプティング)が66件、CWE-399(リソース管理の問題)が59件、CWE-264(認可・権限・アクセス制御の問題)が49件、CWE-20(不適切な入力確認)が37件、CWE-200(情報漏えい)が36件、CWE-94(コード・インジェクション)が31件などとなっています。
これらは広く知れ渡っている脆弱性の種類です。製品開発者は、これらの脆弱性に関してIPAが公開している「安全なウェブサイトの作り方」や「セキュア・プログラミング講座」などを参考に、ソフトウェア製品の企画・設計段階から情報セキュリティを考慮する必要があります。
1.2 JVN iPediaに登録済みの脆弱性の深刻度
図3にJVN iPediaに登録済みの脆弱性について、製品開発者やセキュリティポータルサイト等が脆弱性対策情報を公開した日を基にした、脆弱性の深刻度の公開年別推移を示します。2004年以降、脆弱性対策情報の公開が急増しており、2008年まで増加傾向となっています。
JVN iPediaでは、共通脆弱性評価システムCVSSにより、それぞれの脆弱性の深刻度を公表しています。2009年第3四半期まで(1月〜9月)では、レベルIII(危険、CVSS基本値=7.0〜10.0)が42%、レベルII(警告、CVSS基本値=4.0〜6.9)が52%、レベルI(注意、CVSS基本値=0.0〜3.9)が6%となっています。
深刻度の高い脆弱性が多数公開されていることから、製品利用者は情報を日々収集し、製品のバージョンアップやセキュリティ対策パッチの適用などを遅滞なく行うことが必要です。
1.3 アプリケーション・ソフトウェアの脆弱性対策情報の公開が年々増加しています
図4にJVN iPediaに登録済みの脆弱性について、その製品の種類の公開年別推移を示します。
Internet Explorer、Firefox、Microsoft Officeなどのデスクトップアプリケーションや、Webサーバ、アプリケーションサーバ、データベースなどのミドルウェア、また、PHP、Java、GNUライブラリなどの開発・運用系など、アプリケーション・ソフトウェアの脆弱性対策情報の公開が年々増加しています。毎年、数多くのアプリケーションが新しく開発され、それらにおいて脆弱性が発見されており、アプリケーション・ソフトウェアのセキュリティ対策は特に重要となっています。
Windows、Mac OS、UNIX、LinuxなどのOSに関しては、2005年頃までは脆弱性の公開件数が増加傾向にありましたが、2005年以降は公開件数が減少しています。OSに関しては、毎年脆弱性は発見されるものの、後継製品での脆弱性対策が迅速に施されています。
2005年頃から、ネットワーク機器、携帯電話、DVDレコーダなどの情報家電など、組込みソフトウェアの脆弱性の対策情報が徐々に公開されています。
1.4 オープンソースソフトウェアの割合
図5にJVN iPediaに登録済みの脆弱性について、オープンソースソフトウェア(OSS)とOSS以外のソフトウェアの公開年別推移を示します。その割合は全体でOSSが31%、OSS以外が69%となっています。OSSの割合の年別推移を見ると、1998年から2003年までは上昇傾向でしたが、2004年に減少し、その後は大きな変化なく推移しています。
1.5 ソフトウェア製品の開発者(ベンダー)の内訳
JVN iPediaに登録済みのソフトウェア製品の開発者(ベンダー)に関して、図6にOSSのベンダーの内訳、図7にOSS以外のベンダーの内訳を示します。
OSSは、国内ベンダーが56、海外ベンダー(日本法人有り)が21、海外ベンダー(日本法人無し)が209、合計286ベンダーとなっています。OSS以外は、国内ベンダーが103、海外ベンダー(日本法人有り)が57、海外ベンダー(日本法人無し)が39、合計199ベンダーとなっています。
OSSに関しては、日本法人の無い海外ベンダーの脆弱性対策情報が数多く登録されています。OSSを利用する場合、製品のバージョンアップやセキュリティパッチの適用などのノウハウを持たない製品利用者は、製品のサポートサービスの活用、保守契約上の取り決め等の考慮が必要です。
2.脆弱性対策情報の活用状況
表2は今四半期にアクセスの多かったJVN iPediaの脆弱性対策情報を、アクセス数の多い順番に上位20件まで示しています。DNS実装やOpenSSL、Apache Tomcat、ウイルスセキュリティなどは、脆弱性対策情報の公開から時間が経過しても多数のアクセスがあり、利用者が注目している情報となっています。FreeNAS、ATOKや、PHPまたは Perlを使用した製品など、よく使用されている製品で、近年公開した情報にも多数のアクセスがありました。
表3は国内の製品開発者から収集した脆弱性対策情報のアクセス数上位5件を示しています。
表2.JVN iPediaの脆弱性対策情報のアクセス数上位20件
# |
ID |
タイトル |
アクセス |
CVSS |
公開日 |
|---|---|---|---|---|---|
1 |
JVNDB-2008-001495 |
1,633 |
6.4 |
2008/7/23 |
|
2 |
JVNDB-2005-000601 |
1,183 |
2.6 |
2007/4/1 |
|
3 |
JVNDB-2008-000009 |
1,075 |
4.3 |
2008/2/12 |
|
4 |
JVNDB-2009-000053 |
1,065 |
7.1 |
2009/8/5 |
|
5 |
JVNDB-2009-000037 |
989 |
4.3 |
2009/6/18 |
|
6 |
JVNDB-2008-000050 |
966 |
4.3 |
2008/8/12 |
|
7 |
JVNDB-2009-000057 |
924 |
7.2 |
2009/9/2 |
|
8 |
JVNDB-2009-000046 |
845 |
5.0 |
2009/6/25 |
|
8 |
JVNDB-2009-000036 |
845 |
4.3 |
2009/6/18 |
|
10 |
JVNDB-2009-000048 |
838 |
4.3 |
2009/7/14 |
|
11 |
JVNDB-2009-000056 |
815 |
6.5 |
2009/8/24 |
|
11 |
JVNDB-2009-000010 |
815 |
2.6 |
2009/2/26 |
|
13 |
JVNDB-2009-000050 |
809 |
6.8 |
2009/7/29 |
|
14 |
JVNDB-2007-001017 |
795 |
4.3 |
2007/12/20 |
|
15 |
JVNDB-2009-000040 |
778 |
7.8 |
2009/6/18 |
|
16 |
JVNDB-2009-000043 |
770 |
5.0 |
2009/6/24 |
|
16 |
JVNDB-2009-000042 |
770 |
2.6 |
2009/6/24 |
|
18 |
JVNDB-2008-000084 |
751 |
2.6 |
2008/12/19 |
|
19 |
JVNDB-2008-000022 |
738 |
6.8 |
2008/4/28 |
|
20 |
JVNDB-2009-000045 |
733 |
4.3 |
2009/6/25 |
表3.国内の製品開発者から収集した脆弱性対策情報の中のアクセス数上位5件
# |
ID |
タイトル |
アクセス |
CVSS |
公開日 |
|---|---|---|---|---|---|
1 |
JVNDB-2008-001647 |
627 |
7.5 |
2008/9/10 |
|
2 |
JVNDB-2008-001313 |
616 |
5.0 |
2008/5/9 |
|
3 |
JVNDB-2008-001150 |
576 |
3.6 |
2008/3/14 |
|
4 |
JVNDB-2009-001544 |
Cosminexus、Processing Kit for XMLおよびHitachi Developer's Kit for Javaにおけるエンコーディング処理に関する不正アクセスの脆弱性 |
535 |
10.0 |
2009/7/1 |
5 |
JVNDB-2008-001895 |
476 |
6.5 |
2008/11/26 |
注1)CVSS基本値の深刻度による色分け
CVSS基本値=0.0〜3.9 |
CVSS基本値=4.0〜6.9 |
CVSS基本値=7.0〜10.0 |
注2)公開日の色分け
2007年の公開 |
2008の公開 |
2009年の公開 |
脚注
(*1)Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/
(*2)National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
http://www.nist.gov/
(*3)National Vulnerability Database。NISTが運営する脆弱性データベース。
http://nvd.nist.gov/home.cfm
(*4)脆弱性情報を一意に特定するための標準仕様で、各脆弱性に対してCVE識別番号(CVE-ID)を付与したリストです。概要は「共通脆弱性識別子CVEの概説」を参照下さい。
http://www.ipa.go.jp/security/vuln/CVE.html
資料のダウンロード
参考情報
本件に関するお問い合わせ先
IPA セキュリティセンター 山岸/渡辺
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: 