HOME情報セキュリティ情報セキュリティ対策脆弱性対策脆弱性対策情報データベースJVN iPediaの登録状況[2009年第4四半期(10月~12月)]

本文を印刷する

情報セキュリティ

脆弱性対策情報データベースJVN iPediaの登録状況[2009年第4四半期(10月~12月)]

~脆弱性対策情報のアクセス件数が月間100万件を突破しました~

掲載日 2010年1月19日
>> ENGLISH

 IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、2009年第4四半期(10月~12月)の脆弱性対策情報データベース「JVN iPedia」(ジェイブイエヌ アイ・ペディア)の登録状況をまとめました。
 JVN iPediaは、12月に月間100万件を超えるアクセスがありました。1年前に比べると約5倍に増加しています。これは、脆弱性対策情報の登録件数の拡充(累計7,646件)や、JVN iPediaを活用したツールとして2009年末に公開した「MyJVNバージョンチェッカ」及び「MyJVN セキュリティ設定チェッカ」などによるものです。

 JVN iPediaでは、諸外国との脆弱性対策情報の共有を推進するため、脆弱性の深刻度(CVSS)の計算ソフトウェアを多言語化(従来の英語に加え韓国語など7ヵ国語化)しました。今後も脆弱性対策情報を収集するためのデータベースとして、広く活用されることを期待します。

 ソフトウェア製品の脆弱性の特徴としては、2009年もバッファエラー、リソース管理の問題、認可・権限・アクセス制御の問題などの5種類が全体の60%以上を占めました。製品開発者は、ソフトウェア製品の企画・設計段階から情報セキュリティを考慮する必要があります。

(1)脆弱性対策情報のアクセス件数が月間100万件を突破しました

 今四半期は、DNS実装やJasmine、OpenSSL、Apache Tomcat、Lhaplus、Namazuなど、脆弱性対策情報の公開から時間が経過したものにも多数のアクセスがありました。2009年に公開したものでは、IPv6やXML署名の関連製品、複数のサイボウズ製品、SugarCRMなどの脆弱性対策情報に多数のアクセスがあり、利用者が注目している情報となっています。

 また、今四半期にJVN iPediaの脆弱性対策情報を活用したツールとして、簡単な操作で製品のバージョンをチェックできる「MyJVNバージョンチェッカ(*1)」及び、簡単な操作でWindowsのセキュリティ設定をチェックできる「MyJVN セキュリティ設定チェッカ(*2)」を公開しました。

 これらにより、JVN iPediaは12月に月間100万件を超えるアクセスがありました。1年前に比べると約5倍に増加しています。今後もJVN iPediaが、脆弱性対策情報を収集するためのデータベースとして広く活用されることを期待します。

(2)脆弱性対策情報の登録状況

 2009年第4四半期(2009年10月1日から12月31日まで)にJVN iPedia日本語版へ登録した脆弱性対策情報は、国内製品開発者から収集したもの2件(公開開始からの累計は85件)、JVNから収集したもの26件(累計724件)、NVDから収集したもの323件(累計6,837件)、合計351件(累計7,646件)で、脆弱性対策情報の登録件数が累計7,646件となりました。(表1、図1)。

 JVN iPedia英語版は、国内製品開発者から収集したもの2件(累計85件)、JVNから収集したもの16件(累計413件)、合計18件(累計498件)でした。

表1.2009年第4四半期の登録件数

  情報の収集元 登録件数 累計件数
日本語版 国内製品開発者
2
85
JVN
26
724
NVD
323
6,837
351
7,646
英語版 国内製品開発者
2
85
JVN
16
413
18
498

図1.JVN iPediaの登録件数の四半期別推移

(3)脆弱性の深刻度(CVSS)の計算ソフトウェアを多言語化(韓国語など7ヵ国語化)しました

 共通脆弱性評価システムCVSS(*3)は、情報システムの脆弱性に対するオープンで汎用的な評価手法で、ベンダーに依存しない共通の評価方法を提供しています。CVSSを用いると、脆弱性の深刻度を同一の基準の下で定量的に比較できるようになります。また、ベンダー、セキュリティ専門家、管理者、ユーザ等の間で、脆弱性に関して共通の言葉で議論できるようになります。

 JVN iPediaでもCVSSを適用しており、脆弱性そのものの特性を評価したCVSS基本値を公表しています。JVN iPediaのCVSS計算ソフトウェアを用いると、製品利用者自身が脆弱性への対応を決めるためのCVSS現状値(攻撃コードの出現有無、対策情報の適用可否など)やCVSS環境値(各組織での対象製品の利用範囲、攻撃を受けた場合の被害の大きさなど)を計算することが可能です。

 この度、諸外国の調整機関や開発者、利用者との脆弱性対策情報の共有を促進するため、脆弱性の深刻度(CVSS)の計算ソフトウェアを多言語化しました。利用可能な言語は、従来の英語、日本語に加え、アラビア語、フランス語、ドイツ語、韓国語、スペイン語(abc順に記載)の7ヵ国語です。

 多言語に対応したCVSS計算ソフトウェア(図2)は、次のURLから利用可能です。

図2.脆弱性が公開された年別の脆弱性の種類の推移

(4)2009年もバッファエラーなどの5種類の脆弱性が全体の60%以上を占めました

 共通脆弱性タイプ一覧CWE(*4)は、脆弱性の種類を識別するための共通の脆弱性タイプの一覧です。CWEを用いると、SQLインジェクション、クロスサイト・スクリプティング、バッファオーバーフローなど、ソフトウェアの多種多様にわたる脆弱性に関して、脆弱性の種類(脆弱性タイプ)の識別や分析、国内外での比較などが可能になります。

 JVN iPediaも脆弱性の種類の識別にCWEを適用しています。図3にJVN iPediaに登録した脆弱性対策情報に関して、脆弱性が公開された年別の脆弱性の種類の推移を示します。

 2009年も2008年に引き続き、CWE-119(バッファエラー)、CWE-399(リソース管理の問題)、CWE-264(認可・権限・アクセス制御の問題)、CWE-79(クロスサイト・スクリプティング)、CWE-20(不適切な入力確認)の5種類の脆弱性が全体の60%以上を占めました。 また、CWE-79(クロスサイト・スクリプティング)、CWE-20(不適切な入力確認)、CWE-94(コード・インジェクション)の比率が増加傾向にあります。

 これらは広く知れ渡っている脆弱性の種類です。製品開発者は、これらの脆弱性に関してIPAが公開している「安全なウェブサイトの作り方(*5)」や「セキュア・プログラミング講座(*6)」などを参考に、ソフトウェア製品の企画・設計段階から情報セキュリティを考慮する必要があります。

図3. 多国語に対応したCVSS計算ソフトウェアの利用イメージ

(5)脆弱性対策情報データベース「JVN iPedia( http://jvndb.jvn.jp/ )」について

 日本国内で使用されているソフトウェア製品の脆弱性対策情報を収集するためのデータベースを目指し、(1)国内のソフトウェア製品開発者が公開した脆弱性対策情報、(2)脆弱性対策情報ポータルサイトJVN(*7)で公表した脆弱性対策情報、(3)米国国立標準技術研究所NIST(*8)の脆弱性データベース「NVD(*9)」が公開した脆弱性対策情報、の中から情報を収集、翻訳し、2007年4月25日から公開しています。

1.脆弱性対策情報の登録状況
1.1 広く知れ渡っている種類の脆弱性対策情報が数多く公開されています

 図4は、JVN iPediaへ今四半期に登録した脆弱性対策情報を、CWEで分類した、脆弱性の種類ごとの件数です。

 件数が多い脆弱性は、CWE-119(バッファエラー)が52件、CWE-399(リソース管理の問題)が30件、CWE-264(認可・権限・アクセス制御の問題)が25件、CWE-94(コード・インジェクション)が23件、CWE-189(数値処理の問題)が21件、CWE-20(不適切な入力確認)が19件、CWE-310(暗号の問題)が15件などとなっています。

 これらは広く知れ渡っている脆弱性の種類です。製品開発者は、これらの脆弱性に関してIPAが公開している安全なウェブサイトの作り方」や「セキュア・プログラミング講座」などを参考に、ソフトウェア製品の企画・設計段階から情報セキュリティを考慮する必要があります。

図4. 2009年第4四半期に登録した脆弱性の種類

1.2 深刻度の高い脆弱性対策情報が数多く公開されています

 図5にJVN iPediaに登録済みの脆弱性対策情報について、製品開発者やセキュリティポータルサイト等が脆弱性の対策情報を公開した日を基にした、脆弱性の深刻度の公開年別推移を示します。2004年以降、脆弱性対策情報の公開が急増しており、2008年まで増加傾向となっています。

 JVN iPediaでは、共通脆弱性評価システムCVSSにより、それぞれの脆弱性の深刻度を公表しています。2009年第4四半期まで(1月~12月)では、レベルIII(危険、CVSS基本値=7.0~10.0)が44%、レベルII(警告、CVSS基本値=4.0~6.9)が50%、レベルI(注意、CVSS基本値=0.0~3.9)が6%となっています。

 深刻度の高い脆弱性が多数公開されていることから、製品利用者は情報を日々収集し、製品のバージョンアップやセキュリティ対策パッチの適用などを遅滞なく行うことが必要です。

図5.脆弱性の深刻度の公開年別推移

1.3 アプリケーション・ソフトウェアの脆弱性対策情報の公開が年々増加しています

 図6にJVN iPediaに登録済みの脆弱性対策情報について、その製品の種類の公開年別推移を示します。

 Internet Explorer、Firefox、Microsoft Officeなどのデスクトップアプリケーションや、Webサーバ、アプリケーションサーバ、データベースなどのミドルウェア、また、PHP、Java、GNUライブラリなどの開発・運用系など、アプリケーション・ソフトウェアの脆弱性対策情報の公開が年々増加しています。毎年、数多くのアプリケーションが新しく開発され、それらにおいて脆弱性が発見されており、アプリケーション・ソフトウェアのセキュリティ対策は特に重要となっています。

 Windows、Mac OS、UNIX、LinuxなどのOSに関しては、2005年頃までは脆弱性の公開件数が増加傾向にありましたが、2005年以降は公開件数が減少しています。OSに関しては、毎年脆弱性は発見されるものの、後継製品で脆弱性対策が迅速に施されています。

 2005年頃から、ネットワーク機器、携帯電話、DVDレコーダなどの情報家電など、組込みソフトウェアの脆弱性の対策情報が徐々に公開されています。

 2008年頃からは、重要インフラなどで利用される、監視制御システム(SCADA:Supervisory Control And Data Acquisition)についても脆弱性の対策情報が公開されています。2008年分として6件、2009年分は9件の脆弱性対策情報を公開しています 。

図6.脆弱性対策情報を公表した製品の種類の公開年別推移

1.4 オープンソースソフトウェアの割合

 図7にJVN iPediaに登録済みの脆弱性対策情報について、オープンソースソフトウェア(OSS)とOSS以外のソフトウェアの公開年別推移を示します。その割合は全体でOSSが30%、OSS以外が70%となっています。OSSの割合の年別推移を見ると、1998年から2003年までは上昇傾向でしたが、2004年に減少し、その後は大きな変化なく推移しています。

図7.オープンソースソフトウェア(OSS)とOSS以外の公開年別推移

1.5 ソフトウェア製品の開発者(ベンダー)の内訳

 JVN iPediaに登録済みのソフトウェア製品の開発者(ベンダー)に関して、図8にOSSのベンダーの内訳、図9にOSS以外のベンダーの内訳を示します。

 OSSは、国内ベンダーが57、海外ベンダー(日本法人有り)が21、海外ベンダー(日本法人無し)が216、合計294ベンダーとなっています。OSS以外は、国内ベンダーが105、海外ベンダー(日本法人有り)が58、海外ベンダー(日本法人無し)が39 、合計202ベンダーとなっています。

 OSSに関しては、日本法人の無い海外ベンダーの脆弱性対策情報が数多く登録されています。OSSを利用する場合、製品のバージョンアップやセキュリティパッチの適用などのノウハウを持たない製品利用者は、製品のサポートサービスの活用、保守契約上の取り決め等の考慮が必要です。

図8.OSSのベンダーの内訳、図9.OSS以外のベンダーの内訳

2.脆弱性対策情報の活用状況

 表2は今四半期にアクセスの多かったJVN iPediaの脆弱性対策情報を、アクセス数の多い順番に上位20件まで示しています。DNS実装やOpenSSL、Apache Tomcat、Lhaplus、Namazuなどは、脆弱性対策情報の公開から時間が経過しても多数のアクセスがあり、利用者が注目している情報となっています。IPv6やサイボウズ、PHPを使用した製品など、近年公開した情報にも多数のアクセスがありました。

 表3は国内の製品開発者から収集した脆弱性対策情報のアクセス数上位5件を示しています。

表2.JVN iPediaの脆弱性対策情報のアクセス数上位20件

#

ID

タイトル

アクセス

CVSS
基本値

公開日

1

JVNDB-2008-001495

複数のDNS実装にキャッシュポイズニングの脆弱性

2066

6.4

2008/7/23

2

JVNDB-2009-000068

IPv6を実装した複数の製品にサービス運用妨害(DoS)の脆弱性

1308

5.7

2009/10/26

3

JVNDB-2008-001647

JasmineのWebLinkテンプレート実行時における複数の脆弱性

1147

7.5

2008/9/10

4

JVNDB-2005-000601

OpenSSLにおけるバージョン・ロールバックの脆弱性

1099

2.6

2007/4/1

5

JVNDB-2008-000009

Apache Tomcatにおいて不正なCookieを送信される脆弱性

996

4.3

2008/2/12

6

JVNDB-2008-000022

Lhaplusにおけるバッファオーバーフローの脆弱性

979

6.8

2008/4/28

7

JVNDB-2008-000018

Namazuにおけるクロスサイトスクリプティングの脆弱性

916

4.3

2008/3/21

8

JVNDB-2009-001911

XML署名の検証において認証回避が可能な問題

913

5.0

2009/8/20

9

JVNDB-2009-000067

複数のサイボウズ製品におけるクロスサイトスクリプティングの脆弱性

841

2.6

2009/10/15

9

JVNDB-2008-001150

JP1/秘文の暗号化/復号機能および持ち出し制御機能における正しく動作が行われない問題

841

3.6

2008/3/14

11

JVNDB-2008-001043

X.Org Foundation製Xサーバにおけるバッファオーバーフローの脆弱性

838

7.4

2008/1/31

12

JVNDB-2009-000065

SugarCRMにおけるクロスサイトスクリプティングの脆弱性

835

2.6

2009/10/2

13

JVNDB-2008-000084

PHPにおけるクロスサイトスクリプティングの脆弱性

833

2.6

2008/12/19

14

JVNDB-2008-000050

ウイルスセキュリティおよびウイルスセキュリティZEROにおけるサービス運用妨害(DoS)の脆弱性

823

4.3

2008/8/12

15

JVNDB-2008-000055

Blogn(ぶろぐん)におけるクロスサイトスクリプティングの脆弱性

796

2.6

2008/9/1

16

JVNDB-2007-001017

Apache HTTP Serverの413エラーメッセージにおけるHTTPメソッドを適切に検査しない問題

773

4.3

2007/12/20

17

JVNDB-2009-000064

複数の phpspot製品におけるディレクトリトラバーサルの脆弱性

763

5.0

2009/9/18

18

JVNDB-2008-001313

JP1/Cm2/Network Node Managerにおけるサービス運用妨害(DoS)の脆弱性

760

5.0

2008/5/9

19

JVNDB-2009-000037

Apache Tomcatにおけるサービス運用妨害(DoS)の脆弱性

757

4.3

2009/6/18

20

JVNDB-2007-000819

Apache HTTP Serverのmod_imapおよびmod_imagemapにおけるクロスサイトスクリプティングの脆弱性

752

4.3

2007/12/13

表3.国内の製品開発者から収集した脆弱性対策情報の中のアクセス数上位5件

#

ID

タイトル

アクセス

CVSS
基本値

公開日

1

JVNDB-2008-001647

JasmineのWebLink テンプレート実行時における複数の脆弱性

1147

7.5

2008/9/10

2

JVNDB-2008-001150

JP1/秘文の暗号化/復号機能および持ち出し制御機能における正しく動作が行われない問題

841

3.6

2008/3/14

3

JVNDB-2008-001313

JP1/Cm2/Network Node Manager におけるサービス運用妨害(DoS)の脆弱性

760

5.0

2008/5/9

4

JVNDB-2008-001895

JP1/VERITAS NetBackupのJAVA Administration GUIにおける特権昇格の脆弱性

616

6.5

2008/11/26

5

JVNDB-2008-001350

日立のGroupmax Collaboration関連製品におけるクロスサイトスクリプティングの脆弱性

445

4.3

2008/5/28

注1)CVSS基本値の深刻度による色分け

CVSS基本値=0.0~3.9
深刻度=レベルI(注意)

CVSS基本値=4.0~6.9
深刻度=レベルII(警告)

CVSS基本値=7.0~10.0
深刻度=レベルIII(危険)

 

注2)公開日の色分け

2007年の公開

2008の公開

2009年の公開

脚注

(*1)2009年11月30日に公開。
http://www.ipa.go.jp/security/vuln/documents/2009/200911_myjvn_vc.html

(*2)2009年12月21日に公開。
http://www.ipa.go.jp/security/vuln/documents/2009/200912_myjvn_cc.html

(*3)Common Vulnerability Scoring System。次を参照下さい。
http://www.ipa.go.jp/security/vuln/CVSS.html

(*4)Common Weakness Enumeration。概要は次を参照下さい。
http://www.ipa.go.jp/security/vuln/CWE.html

(*5)http://www.ipa.go.jp/security/vuln/websecurity.html

(*6)http://www.ipa.go.jp/security/awareness/vendor/programmingv2/

(*7)Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/

(*8)National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
http://www.nist.gov/

(*9)National Vulnerability Database。NISTが運営する脆弱性データベース。
http://nvd.nist.gov/home.cfm

資料のダウンロード

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター 山岸/渡辺

Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。