1. 2010年 第4四半期 脆弱性対策情報データベース JVN iPediaの登録状況（総括）

　脆弱性対策情報データベース「JVN iPedia（ http://jvndb.jvn.jp/ ）」は、日本国内で使用されているソフトウェア製品の脆弱性対策情報を収集することにより、脆弱性関連情報を容易に利用可能とすることを目指しています。1）国内のソフトウェア製品開発者が公開した脆弱性対策情報、2）脆弱性対策情報ポータルサイトJVN^(*1)で公表した脆弱性対策情報、3）米国国立標準技術研究所NIST^(*2)の脆弱性データベース「NVD^(*3)」が公開した脆弱性対策情報、の中から情報を収集、翻訳し、2007年4月25日から公開しています。

1.1 脆弱性対策情報の登録状況

〜 脆弱性対策情報の登録件数が累計9,600件を突破 〜

　2010年第4四半期（2010年10月1日から12月31日まで）にJVN iPedia日本語版へ登録した脆弱性対策情報は、国内製品開発者から収集したもの6件（公開開始からの累計は116件）、JVNから収集したもの156件（累計995件）、NVDから収集したもの438件（累計8,516件）、合計600件（累計9,627件）でした。脆弱性対策情報の登録件数が、累計9,600件を突破しました。（表1、図1）

　JVN iPedia日本語版では、脆弱性対策情報を登録する対象製品を拡充しています。2010年第4四半期（2010年10月1日から12月31日まで）においては、個人や企業などで利用が多い製品として、ウェブブラウザのGoogle Chrome、バックアップ管理ソフトウェアのCA ARCserve Backupといった製品の脆弱性対策情報の登録を開始しています。また、「任意のDLL／実行ファイル読み込みに関する脆弱性の注意喚起^(*4)」に関してJVNから公表された脆弱性対策情報も14件登録しています。

　JVN iPedia英語版は、国内製品開発者から収集したもの6件（累計116件）、JVNから収集したもの31件（累計481件）、合計37件（累計597件）でした。

表1．2010年第4四半期の登録件数

	情報の収集元	登録件数	累計件数
日本語版	国内製品開発者	6 件	116 件
	JVN	156 件	995 件
	NVD	438 件	8,516 件
	計	600 件	9,627 件
英語版	国内製品開発者	6 件	116 件
	JVN	31 件	481 件
	計	37 件	597 件

1.2 登録している脆弱性対策情報に関する注目情報

〜　ウェブブラウザに関連する脆弱性対策情報を多数登録、速やかなバージョンアップを 〜

　2010年12月末までに登録されたJVN iPedia日本語版の脆弱性対策情報9,627件のうち、約12.5%にあたる1,204件がウェブブラウザに関するものになっています。

　JVN iPediaでは、共通脆弱性評価システムCVSS^(*5) により、それぞれの脆弱性の深刻度^(*6)を公開しています。図2のグラフは、JVN iPediaに登録済みのウェブブラウザ製品に関する脆弱性対策情報について、製品開発者やセキュリティポータルサイト等が脆弱性の対策情報を公開した日を基にした、深刻度別割合の公開年別推移を示したものです。図3はウェブブラウザ製品別の深刻度割合です。

　図2のグラフを見ると、年々ウェブブラウザの脆弱性に関する件数は増えており、深刻度の高い脆弱性が増加傾向にあることがわかります。深刻度別の割合を集計すると、レベルIII（危険、CVSS基本値=7.0〜10.0）が54%、レベルII（警告、CVSS基本値=4.0〜6.9）が42%、レベルI（注意、CVSS基本値=0.0〜3.9）が4%となっています。

　図3のグラフを見ると、深刻度の高い脆弱性が特定の製品に限らないことがわかります。ウェブブラウザ製品別の登録件数は、Internet Explorerが308件、Mozilla Firefoxが481件、Google Chromeが110件、Apple Safariが233件、Operaが90件、となっています。

　ウェブブラウザに関する脆弱性を多数登録しています。製品利用者は情報を日々収集し、製品のバージョンアップなどを遅滞なく行うことが重要です。

2. 2010年 第4四半期 脆弱性対策情報データベース JVN iPediaの登録状況（詳細）

2.1. 脆弱性対策情報の登録状況

2.1.1 今四半期に登録した脆弱性の種類別件数

　共通脆弱性タイプ一覧CWE^(*7)は、脆弱性の種類を識別するための共通の脆弱性タイプの一覧です。
CWEを用いると、ソフトウェアの多種多様にわたる脆弱性に関して、脆弱性の種類（脆弱性タイプ）の識別や分析、国内外での比較などが可能になります。図4のグラフは、JVN iPediaへ今四半期に登録した脆弱性対策情報を、CWEで分類した、脆弱性の種類ごとの件数を示したものです。

　件数が多い脆弱性は、CWE-119（バッファエラー）が116件、CWE-20（不適切な入力確認）が62件、CWE-399（リソース管理の問題）が44件、CWE-264（認可・権限・アクセス制御の問題）が40件、CWE-79（クロスサイト・スクリプティング）が34件、などとなっています。

　これらは広く認知されている脆弱性の種類です。製品開発者は、これらの脆弱性に関してIPAが公開している「安全なウェブサイトの作り方^(*8)」、「安全なSQLの呼び出し方^(*8)」、「セキュア・プログラミング講座^(*9)」などを参考に、ソフトウェア製品の企画・設計段階からセキュリティ実装を考慮する必要があります。

2.1.2 脆弱性に関する年別の深刻度別割合

　図5のグラフはJVN iPediaに登録済みの脆弱性対策情報について、製品開発者やセキュリティポータルサイト等が脆弱性の対策情報を公開した日を基にした、脆弱性の深刻度別の件数の公開年別推移を示したものです。2008年までは増加傾向でしたが、2008年以降は横ばい状態となっており、深刻度の高い脆弱性の件数が大きな割合を占めています。

　2010年12月31日まででは、レベルIII（危険、CVSS基本値=7.0〜10.0）が46%、レベルII（警告、CVSS基本値=4.0〜6.9）が45%、レベルI（注意、CVSS基本値=0.0〜3.9）が9%となっています。

　深刻度の高い脆弱性が多数公開されていることから、製品利用者は情報を日々収集し、製品のバージョンアップやセキュリティ対策パッチの適用などを遅滞なく行うことが必要です。

2.1.3 脆弱性対策情報を公表した製品の種類別件数

　図6のグラフはJVN iPediaに登録済みの脆弱性対策情報について、その製品の種類別件数の公開年別推移を示したものです。Adobe Reader、Adobe Flash Player、Safari、Internet Explorer、Firefoxなどのデスクトップアプリケーションや、Webサーバ、アプリケーションサーバ、データベースなどのミドルウェア、また、PHP、Javaなど、アプリケーション・ソフトウェアの脆弱性対策情報の公開が年々増加しています。毎年、数多くのアプリケーションが新しく開発され、それらにおいて脆弱性が発見されており、アプリケーション・ソフトウェアのセキュリティ対策は重要度を増しています。

　2008年頃からは、重要インフラなどで利用される、監視制御システム（SCADA：Supervisory Control And Data Acquisition）についても脆弱性の対策情報が公開されています。2008年分として8件、2009年分は9件、2010年分は6件、合計23件のSCADAに関する脆弱性対策情報を公開しています。

　最近ではSCADAを攻撃対象とした、Windows シェルの脆弱性（MS10-046）を悪用して感染を拡げるウイルスStuxnet^(*10)も発見されています。製品利用者は脆弱性対策情報を日々収集し、バージョンアップやセキュリティ対策パッチの適用などを遅滞なく行うことが必要です。

2.1.4 オープンソースソフトウェアの割合

　図7のグラフはJVN iPediaに登録済みの脆弱性対策情報について、オープンソースソフトウェア（OSS）とOSS以外のソフトウェアの公開年別推移を示したものです。OSSの割合の年別推移を見ると、近年では2008年以降のOSSの割合が減少傾向となっており、2010年では20%の割合になっています。全体件数から見た割合は、OSSが33%、OSS以外が67%となっています。

2.1.5 ソフトウェア製品の開発者（ベンダー）の内訳

　図8、図9のグラフは、JVN iPediaに登録済みのソフトウェア製品の開発者（ベンダー）に関して、OSSのベンダーの内訳とOSS以外のベンダーの内訳をそれぞれ示したものです。

　OSSは、国内ベンダーが64、海外ベンダー（日本法人有り）が24、海外ベンダー（日本法人無し）が226、合計314ベンダーとなっています。OSS以外は、国内ベンダーが118、海外ベンダー（日本法人有り）が64、海外ベンダー（日本法人無し）が51 、合計233ベンダーとなっています。

　OSSに関しては、日本法人の無い海外ベンダーの脆弱性対策情報が数多く登録されています。OSSを利用する場合、製品のバージョンアップやセキュリティパッチの適用などのノウハウを持たない製品利用者は、製品のサポートサービスの活用、保守契約上の取り決め等の考慮が必要です。

3. 脆弱性対策情報の活用状況

〜 任意のDLL／実行ファイル読み込みに関する脆弱性が注目されています 〜

　JVN iPediaのアクセス数は、2010年1月〜2010年12月の1年間で1,973万件となっており、月平均で160 万件を超えるアクセスがあります。

　表2は2010年第4四半期（10月〜12月）にアクセスの多かったJVN iPediaの脆弱性対策情報を、アクセス数の多い順に上位20件まで示しています。上位20件の内9件はIPAが「任意のDLL／実行ファイル読み込みに関する脆弱性の注意喚起」として注意喚起を行っている脆弱性です。この、任意のDLL／実行ファイル読み込みに関する脆弱性は、Microsoft Windowsで動作する多数のソフトウェア製品が影響を受けます。また20件中14件がJVNから公表された脆弱性対策情報です。

　なお、DNS実装やSSLなどは、脆弱性対策情報の公開から時間が経過しても多数のアクセスがあり、利用者が注目している情報となっています。

　一般に広く利用されているソフトウェアに関する情報に着目すると、Lhaplusが1位と5位、Flash Playerが9位となっており、利用者からの注目を集めています。IPAでは、ウェブブラウザをはじめ、このようなソフトウェアが最新のバージョンかどうかを簡単に確認できるツール「MyJVNバージョンチェッカ」を無償で提供しています。「MyJVNバージョンチェッカ」などを活用し、ソフトウェアは常に脆弱性が解消された最新の状態で使用してください。

　表3は国内の製品開発者から収集した脆弱性対策情報のアクセス数上位5件を示しています。

表2. JVN iPediaの脆弱性対策情報のアクセス数上位20件
[2010年10月〜2010年12月]

#	ID	タイトル	アクセス 数	CVSS 基本値	公開日
1	JVNDB-2010-000037	Lhaplus における DLL 読み込みに関する脆弱性	2892	6.8	2010/10/12
2	JVNDB-2010-000038	Lhasa における実行ファイル読み込みに関する脆弱性	2036	6.8	2010/10/12
3	JVNDB-2009-002319	SSL および TLS プロトコルに脆弱性	1147	6.4	2009/12/14
4	JVNDB-2010-000045	TeraPad における DLL 読み込みに関する脆弱性	1060	6.8	2010/10/21
5	JVNDB-2010-000039	Lhaplus における実行ファイル読み込みに関する脆弱性	744	6.8	2010/10/15
6	JVNDB-2008-001495	複数の DNS 実装にキャッシュポイズニングの脆弱性	650	6.4	2008/7/23
7	JVNDB-2010-000047	Sleipnir および Grani における DLL 読み込みに関する脆弱性	596	6.8	2010/10/22
8	JVNDB-2010-000061	Movable Type における SQL インジェクションの脆弱性	565	6.8	2010/12/8
9	JVNDB-2010-000054	Flash Player におけるアクセス制限回避の脆弱性	565	2.6	2010/11/9
10	JVNDB-2010-001740	Apache Tomcat における重要な情報を取得される脆弱性	559	6.4	2010/7/29
11	JVNDB-2010-000066	アタッシェケースにおける実行ファイル読み込みに関する脆弱性	546	6.8	2010/12/17
12	JVNDB-2010-000052	一太郎シリーズにおける任意のコードが実行される脆弱性	533	9.3	2010/11/4
13	JVNDB-2010-000049	複数の Yokka 提供製品における実行ファイル読み込みに関する脆弱性	530	5.1	2010/10/22
14	JVNDB-2010-001174	Apache HTTP Server の ap_read_request 関数における重要な情報を取得される脆弱性	527	4.3	2010/3/23
15	JVNDB-2010-001229	OpenSSL における複数の関数に関する脆弱性	526	10.0	2010/4/9
16	JVNDB-2010-002118	64-bit プラットフォーム上で稼働している Linux kernel の compat_alloc_user_space 関数における権限昇格の脆弱性	525	7.2	2010/10/8
17	JVNDB-2010-000041	K2Editor における実行ファイル読み込みに関する脆弱性	514	5.1	2010/10/15
18	JVNDB-2010-000050	Active! mail 6 における HTTP ヘッダインジェクションの脆弱性	502	4.3	2010/10/29
19	JVNDB-2010-000051	GVim における DLL 読み込みに関する脆弱性	495	6.8	2010/11/1
20	JVNDB-2008-000084	PHP におけるクロスサイトスクリプティングの脆弱性	478	2.6	2008/12/19

表3. 国内の製品開発者から収集した脆弱性対策情報のアクセス数上位5件
[2010年10月〜2010年12月]

#	ID	タイトル	アクセス 数	CVSS 基本値	公開日
1	JVNDB-2008-001313	JP1/Cm2/Network Node Manager におけるサービス運用妨害 (DoS) の脆弱性	332	5.0	2008/5/9
2	JVNDB-2010-002077	Accela BizSearch の文書参照画面におけるフィッシング脅威の脆弱性	263	5.8	2010/10/1
3	JVNDB-2010-002078	Groupmax Scheduler Server における複数の脆弱性	248	9.0	2010/10/1
4	JVNDB-2008-001150	JP1/秘文の暗号化/復号機能および持ち出し制御機能における正しく動作が行われない問題	232	3.6	2008/3/14
5	JVNDB-2008-001895	JP1/VERITAS NetBackup の JAVA Administration GUI における特権昇格の脆弱性	225	6.5	2008/11/26

注1）CVSS基本値の深刻度による色分け

CVSS基本値=0.0〜3.9 深刻度=レベルI（注意）

CVSS基本値=4.0〜6.9 深刻度=レベルII（警告）

CVSS基本値=7.0〜10.0 深刻度=レベルIII（危険）

注2）公開日の年による色分け

2008年以前の公開

2009年の公開

2010年の公開

脚注

資料のダウンロード

参考情報

本件に関するお問い合わせ先