脆弱性対策情報データベースJVN iPediaの登録状況
[2010年第1四半期(1月〜3月)]
掲載日 2010年4月22日
独立行政法人 情報処理推進機構
>> ENGLISH
1. 2010年 第1四半期 脆弱性対策情報データベース JVN iPediaの登録状況(総括)
脆弱性対策情報データベース「JVN iPedia( http://jvndb.jvn.jp/ )」は、日本国内で使用されているソフトウェア製品の脆弱性対策情報を収集することにより、脆弱性関連情報を容易に利用可能とすることを目指しています。1) 国内のソフトウェア製品開発者が公開した脆弱性対策情報、2) 脆弱性対策情報ポータルサイトJVN(*1)で公表した脆弱性対策情報、3) 米国国立標準技術研究所NIST(*2)の脆弱性データベース「NVD(*3)」が公開した脆弱性対策情報、の中から情報を収集、翻訳し、2007年4月25日から公開しています。
1.1 脆弱性対策情報の登録状況
〜 脆弱性対策情報の登録件数が累計8,000件を突破 〜
2010年第1四半期(2010年1月1日から3月31日まで)にJVN iPedia日本語版へ登録した脆弱性対策情報は、国内製品開発者から収集したもの3件(公開開始からの累計は88件)、JVNから収集したもの26件(累計750件)、NVDから収集したもの333件(累計7,170件)、合計362件(累計8,008件)で、脆弱性対策情報の登録件数が累計8,000件を突破しました。(表1、図1)。
JVN iPedia英語版は、国内製品開発者から収集したもの3件(累計88件)、JVNから収集したもの8件(累計421件)、合計11件(累計509件)でした。
| 情報の収集元 | 登録件数 | 累計件数 | |
|---|---|---|---|
| 日本語版 | 国内製品開発者 | 3 件 | 88 件 |
| JVN | 26 件 | 750 件 | |
| NVD | 333 件 | 7,170 件 | |
| 計 | 362 件 | 8,008 件 | |
| 英語版 | 国内製品開発者 | 3 件 | 88 件 |
| JVN | 8 件 | 421 件 | |
| 計 | 11 件 | 509 件 |
1.2 2009年4月〜2010年3月においてアクセスの多かった脆弱性対策情報 Top20
〜 公開から時間が経過している深刻度の高い脆弱性の未対策が推測される 〜
表2は2009年4月〜2010年3月までの1年間にアクセスの多かったJVN iPediaの脆弱性対策情報を、アクセス数の多い順番に上位20件まで示しています。DNS実装に関する脆弱性やOpenSSL、Apache Tomcatなど、脆弱性対策情報の公開から時間が経過しているものがTop20にランクインをしており、利用者が注目している情報となっています。
Top20の公開年に着目すると、2007年分3件、2008年分8件、2009年分9件となっており、Top10で見た場合には、10件中9件が2008年以前に公開されたものになっています。また共通脆弱性評価システムCVSS(*4)で見た場合には、85%が深刻度(*5)レベルII(警告)あるいは深刻度レベルIII(危険)となっています。
脆弱性対策情報の公開から時間が経つにもかかわらず注目がされていることから、まだ対策がされていないサーバやPCが多数存在することが推測されます。ウェブサイト運営者・システム管理者は、自組織が使用しているソフトウェアの脆弱性対策情報について、公開から時間が経過したものでも該当する脆弱性がないかを確認し、未対策の場合には早急に対策を実施してください。
| # | ID | タイトル | アクセス 数 |
CVSS 基本値 |
公開日 |
|---|---|---|---|---|---|
| 1 | JVNDB-2008-001495 | 複数のDNS実装にキャッシュポイズニングの脆弱性 | 6542 | 6.4 | 2008/7/23 |
| 2 | JVNDB-2005-000601 | OpenSSLにおけるバージョン・ロールバックの脆弱性 | 4328 | 2.6 | 2007/4/1 |
| 3 | JVNDB-2008-000009 | Apache Tomcatにおいて不正なCookieを送信される脆弱性 | 3892 | 4.3 | 2008/2/12 |
| 4 | JVNDB-2008-000050 | ウイルスセキュリティおよびウイルスセキュリティZEROにおけるサービス運用妨害(DoS)の脆弱性 | 3884 | 4.3 | 2008/8/12 |
| 5 | JVNDB-2009-000010 | Apache Tomcat における情報漏えいの脆弱性 | 3338 | 2.6 | 2009/2/26 |
| 6 | JVNDB-2008-001647 | JasmineのWebLinkテンプレート実行時における複数の脆弱性 | 3117 | 7.5 | 2008/9/10 |
| 7 | JVNDB-2007-001017 | Apache HTTP Serverの413エラーメッセージにおけるHTTPメソッドを適切に検査しない問題 | 3117 | 4.3 | 2007/12/20 |
| 8 | JVNDB-2008-000022 | Lhaplusにおけるバッファオーバーフローの脆弱性 | 3081 | 6.8 | 2008/4/28 |
| 9 | JVNDB-2008-000018 | Namazuにおけるクロスサイトスクリプティングの脆弱性 | 3021 | 4.3 | 2008/3/21 |
| 10 | JVNDB-2008-001043 | X.Org Foundation製Xサーバにおけるバッファオーバーフローの脆弱性 | 2908 | 7.4 | 2008/1/31 |
| 11 | JVNDB-2008-000084 | PHPにおけるクロスサイトスクリプティングの脆弱性 | 2851 | 2.6 | 2008/12/19 |
| 12 | JVNDB-2007-000819 | Apache HTTP Serverのmod_imapおよびmod_imagemapにおけるクロスサイトスクリプティングの脆弱性 | 2794 | 4.3 | 2007/12/13 |
| 13 | JVNDB-2009-000037 | Apache Tomcatにおけるサービス運用妨害(DoS)の脆弱性 | 2790 | 4.3 | 2009/6/18 |
| 14 | JVNDB-2009-000040 | iPhone OS におけるサービス運用妨害 (DoS) の脆弱性 | 2725 | 7.8 | 2009/6/18 |
| 15 | JVNDB-2009-000036 | Apache Tomcat における情報漏えいの脆弱性 | 2686 | 4.3 | 2009/6/18 |
| 16 | JVNDB-2009-000032 | 複数の Cisco Systems 製品におけるディレクトリトラバーサルの脆弱性 | 2677 | 10.0 | 2009/5/29 |
| 17 | JVNDB-2009-000018 | 一太郎シリーズにおけるバッファオーバーフローの脆弱性 | 2561 | 6.8 | 2009/4/7 |
| 18 | JVNDB-2009-000019 | LovPop.net 製 apricot.php におけるクロスサイトスクリプティングの脆弱性 | 2525 | 4.3 | 2009/4/16 |
| 19 | JVNDB-2009-000017 | XOOPS Cube Legacy におけるクロスサイトスクリプティングの脆弱性 | 2471 | 4.3 | 2009/4/2 |
| 20 | JVNDB-2009-000016 | futomi's CGI Cafe 製高機能アクセス解析 CGI Professional 版における管理者権限奪取の脆弱性 | 2445 | 7.5 | 2009/3/31 |
注1)CVSS基本値の深刻度による色分け
| CVSS基本値=0.0〜3.9 深刻度=レベルI(注意) |
CVSS基本値=4.0〜6.9 深刻度=レベルII(警告) |
CVSS基本値=7.0〜10.0 深刻度=レベルIII(危険) |
注2)公開日の四半期による色分け
| 2007年の公開 | 2008年の公開 | 2009年の公開 |
2. 脆弱性対策情報の登録状況
2.1 バッファエラーなど、広く知れ渡っている対策情報が数多く公開されています
共通脆弱性タイプ一覧CWE(*6)は、脆弱性の種類を識別するための共通の脆弱性タイプの一覧です。
CWEを用いると、ソフトウェアの多種多様にわたる脆弱性に関して、脆弱性の種類(脆弱性タイプ)の識別や分析、国内外での比較などが可能になります。図2に、JVN iPediaへ今四半期に登録した脆弱性対策情報を、CWEで分類した、脆弱性の種類ごとの件数を示します。
件数が多い脆弱性は、CWE-119(バッファエラー)が53件、CWE-94(コード・インジェクション)が42件、CWE-399(リソース管理の問題)が32件、CWE-264(認可・権限・アクセス制御の問題)が26件、CWE-20(不適切な入力確認)が22件、CWE-189(数値処理の問題)が22件、CWE-79(クロスサイト・スクリプティング)が14件などとなっています。
これらは広く知れ渡っている脆弱性の種類です。製品開発者は、これらの脆弱性に関してIPAが公開している「安全なウェブサイトの作り方(*7)」、「安全なSQLの呼び出し方(*7)」、「セキュア・プログラミング講座(*8)」などを参考に、ソフトウェア製品の企画・設計段階からセキュリティ実装を考慮する必要があります。
2.2 深刻度の高い脆弱性対策情報が数多く公開されています
図3にJVN iPediaに登録済みの脆弱性対策情報について、製品開発者やセキュリティポータルサイト等が脆弱性の対策情報を公開した日を基にした、脆弱性の深刻度の公開年別推移を示します。2004年以降、脆弱性対策情報の公開が急増しており、2009年まで増加傾向となっています。
JVN iPediaでは、共通脆弱性評価システムCVSSにより、それぞれの脆弱性の深刻度を公表しています。2010年第1四半期まで(1月〜3月)では、レベルIII(危険、CVSS基本値=7.0〜10.0)が61%、レベルII(警告、CVSS基本値=4.0〜6.9)が36%、レベルI(注意、CVSS基本値=0.0〜3.9)が3%となっています。
深刻度の高い脆弱性が多数公開されていることから、製品利用者は情報を日々収集し、製品のバージョンアップやセキュリティ対策パッチの適用などを遅滞なく行うことが必要です。
2.3 アプリケーション・ソフトウェアの脆弱性対策情報の公開が年々増加しています
図4にJVN iPediaに登録済みの脆弱性対策情報について、その製品の種類の公開年別推移を示します。Internet Explorer、Firefox、Microsoft Officeなどのデスクトップアプリケーションや、Webサーバ、アプリケーションサーバ、データベースなどのミドルウェア、また、PHP、Java、GNUライブラリなどの開発・運用系など、アプリケーション・ソフトウェアの脆弱性対策情報の公開が年々増加しています。毎年、数多くのアプリケーションが新しく開発され、それらにおいて脆弱性が発見されており、アプリケーション・ソフトウェアのセキュリティ対策は重要度を増しています。
Windows、Mac OS、UNIX、LinuxなどのOSに関しては、2005年頃までは脆弱性の公開件数が増加傾向にありましたが、2005年以降は公開件数が減少傾向にあり毎年脆弱性は発見されるものの、後継製品で脆弱性対策が迅速に施されています。
2005年頃から、ネットワーク機器、携帯電話、DVDレコーダなどの情報家電など、組込みソフトウェアの脆弱性の対策情報が徐々に公開されています。
2008年頃からは、重要インフラなどで利用される、監視制御システム(SCADA:Supervisory Control And Data Acquisition)についても脆弱性の対策情報が公開されています。2008年分として6件、2009年分は9件、2010年分は2件の合計17件のSCADAに関する脆弱性対策情報を公開しています。
2.4 オープンソースソフトウェアの割合
図5にJVN iPediaに登録済みの脆弱性対策情報について、オープンソースソフトウェア(OSS)とOSS以外のソフトウェアの公開年別推移を示します。その割合は全体でOSSが34%、OSS以外が66%となっています。OSSの割合の年別推移を見ると、1998年から2003年までは上昇傾向でしたが、2004年に減少し、その後は大きな変化なく推移しています。
2.5 ソフトウェア製品の開発者(ベンダー)の内訳
JVN iPediaに登録済みのソフトウェア製品の開発者(ベンダー)に関して、図6にOSSのベンダーの内訳、図7にOSS以外のベンダーの内訳を示します。
OSSは、国内ベンダーが61、海外ベンダー(日本法人有り)が21、海外ベンダー(日本法人無し)が219、合計301ベンダーとなっています。OSS以外は、国内ベンダーが105、海外ベンダー(日本法人有り)が60、海外ベンダー(日本法人無し)が40 、合計205ベンダーとなっています。
OSSに関しては、日本法人の無い海外ベンダーの脆弱性対策情報が数多く登録されています。OSSを利用する場合、製品のバージョンアップやセキュリティパッチの適用などのノウハウを持たない製品利用者は、製品のサポートサービスの活用、保守契約上の取り決め等の考慮が必要です。
3. 脆弱性対策情報の活用状況
表3は今四半期[2010年1月〜3月]にアクセスの多かったJVN iPediaの脆弱性対策情報を、アクセス数の多い順番に上位20件まで示しています。DNS実装やOpenSSL、Apache Tomcat、Lhaplus、Namazuなどは、脆弱性対策情報の公開から時間が経過しても多数のアクセスがあり、利用者が注目している情報となっています。OpenPNE、Oracle Application Server、Movable Typeなど、近年公開した情報にも多数のアクセスがありました。
表4は国内の製品開発者から収集した脆弱性対策情報のアクセス数上位5件を示しています。
| # | ID | タイトル | アクセス 数 |
CVSS 基本値 |
公開日 |
|---|---|---|---|---|---|
| 1 | JVNDB-2009-002319 | SSL および TLS プロトコルに脆弱性 | 1433 | 6.4 | 2009/12/14 |
| 2 | JVNDB-2008-001495 | 複数の DNS 実装にキャッシュポイズニングの脆弱性 | 1333 | 6.4 | 2008/7/23 |
| 3 | JVNDB-2010-000006 | OpenPNE におけるアクセス制限回避の脆弱性 | 1101 | 5.8 | 2010/3/5 |
| 4 | JVNDB-2010-000004 | Oracle Application Server におけるクロスサイトスクリプティングの脆弱性 | 1048 | 2.6 | 2010/1/14 |
| 5 | JVNDB-2009-001911 | XML 署名の検証において認証回避が可能な問題 | 1023 | 5.0 | 2009/8/20 |
| 6 | JVNDB-2010-000001 | Movable Type におけるアクセス制限回避の脆弱性 | 999 | 5.5 | 2010/1/6 |
| 7 | JVNDB-2008-000009 | Apache Tomcatにおいて不正なCookieを送信される脆弱性 | 948 | 4.3 | 2008/2/12 |
| 8 | JVNDB-2010-000003 | WebCalenderC3 におけるディレクトリトラバーサルの脆弱性 | 874 | 5.0 | 2010/1/12 |
| 9 | JVNDB-2009-000036 | Apache Tomcat における情報漏えいの脆弱性 | 855 | 4.3 | 2009/6/18 |
| 10 | JVNDB-2005-000601 | OpenSSLにおけるバージョン・ロールバックの脆弱性 | 802 | 2.6 | 2007/4/1 |
| 11 | JVNDB-2008-000022 | Lhaplusにおけるバッファオーバーフローの脆弱性 | 800 | 6.8 | 2008/4/28 |
| 12 | JVNDB-2007-001017 | Apache HTTP Serverの413エラーメッセージにおけるHTTPメソッドを適切に検査しない問題 | 799 | 4.3 | 2007/12/20 |
| 13 | JVNDB-2007-000819 | Apache HTTP Serverのmod_imapおよびmod_imagemapにおけるクロスサイトスクリプティングの脆弱性 | 779 | 4.3 | 2007/12/13 |
| 14 | JVNDB-2010-000002 | WebCalenderC3 におけるクロスサイトスクリプティングの脆弱性 | 775 | 4.3 | 2010/1/12 |
| 15 | JVNDB-2008-001043 | X.Org Foundation製Xサーバにおけるバッファオーバーフローの脆弱性 | 753 | 7.4 | 2008/1/31 |
| 16 | JVNDB-2008-000018 | Namazuにおけるクロスサイトスクリプティングの脆弱性 | 743 | 4.3 | 2008/3/21 |
| 17 | JVNDB-2009-000037 | Apache Tomcatにおけるサービス運用妨害(DoS)の脆弱性 | 742 | 4.3 | 2009/6/18 |
| 18 | JVNDB-2009-000068 | IPv6 を実装した複数の製品にサービス運用妨害 (DoS) の脆弱性 | 688 | 5.7 | 2009/10/26 |
| 19 | JVNDB-2008-000050 | ウイルスセキュリティおよびウイルスセキュリティZEROにおけるサービス運用妨害(DoS)の脆弱性 | 684 | 4.3 | 2008/8/12 |
| 20 | JVNDB-2008-001647 | JasmineのWebLinkテンプレート実行時における複数の脆弱性 | 673 | 7.5 | 2008/9/10 |
| # | ID | タイトル | アクセス 数 |
CVSS 基本値 |
公開日 |
|---|---|---|---|---|---|
| 1 | JVNDB-2008-001647 | JasmineのWebLinkテンプレート実行時における複数の脆弱性 | 673 | 7.5 | 2008/9/10 |
| 2 | JVNDB-2008-001150 | JP1/秘文の暗号化/復号機能および持ち出し制御機能における正しく動作が行われない問題 | 598 | 3.6 | 2008/3/14 |
| 3 | JVNDB-2008-001313 | JP1/Cm2/Network Node Manager におけるサービス運用妨害 (DoS) の脆弱性 | 588 | 5.0 | 2008/5/9 |
| 4 | JVNDB-2008-001895 | JP1/VERITAS NetBackup の JAVA Administration GUI における特権昇格の脆弱性 | 544 | 6.5 | 2008/11/26 |
| 5 | JVNDB-2009-002358 | 富士通 Interstage および Systemwalker 関連製品における SSL セキュリティの脆弱性 | 522 | 5.0 | 2009/12/25 |
注1)CVSS基本値の深刻度による色分け
| CVSS基本値=0.0〜3.9 深刻度=レベルI(注意) |
CVSS基本値=4.0〜6.9 深刻度=レベルII(警告) |
CVSS基本値=7.0〜10.0 深刻度=レベルIII(危険) |
注2)公開日の四半期による色分け
| 2008年以前の公開 | 2009年の公開 | 2010年の公開 |
脚注
(*1)Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/
(*2)National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
http://www.nist.gov/
(*3)National Vulnerability Database。NISTが運営する脆弱性データベース。
http://nvd.nist.gov/home.cfm
(*4)共通脆弱性評価システムCVSS概説。CVSS(Common Vulnerability Scoring System、共通脆弱性評価システム)。
http://www.ipa.go.jp/security/vuln/SeverityCVSS.html
(*5)脆弱性の深刻度評価の新バージョンCVSS v2への移行について。
http://www.ipa.go.jp/security/vuln/SeverityLevel2.html
(*6)Common Weakness Enumeration。概要は次を参照下さい。
http://www.ipa.go.jp/security/vuln/CWE.html
(*7)http://www.ipa.go.jp/security/vuln/websecurity.html
(*8)http://www.ipa.go.jp/security/awareness/vendor/programmingv2/index.html
資料のダウンロード
参考情報
本件に関するお問い合わせ先
IPA セキュリティセンター 渡辺/大森
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: 