HOME情報セキュリティ情報セキュリティ対策脆弱性対策脆弱性対策情報データベースJVN iPediaの登録状況[2011年第1四半期(1月~3月)]

本文を印刷する

情報セキュリティ

脆弱性対策情報データベースJVN iPediaの登録状況[2011年第1四半期(1月~3月)]

掲載日 2011年4月19日
独立行政法人 情報処理推進機構

>> ENGLISH

1. 2011年 第1四半期 脆弱性対策情報データベース JVN iPediaの登録状況(総括)

 脆弱性対策情報データベース「JVN iPedia( http://jvndb.jvn.jp/ )」は、日本国内で使用されているソフトウェアの脆弱性対策情報を収集することにより、脆弱性関連情報を容易に利用可能とすることを目指しています。1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情報ポータルサイトJVN(*1)で公表した脆弱性対策情報、3)米国国立標準技術研究所NIST(*2)の脆弱性データベース「NVD(*3)」が公開した脆弱性対策情報、の中から情報を収集、翻訳し、2007年4月25日から公開しています。

1.1 脆弱性対策情報の登録状況

~脆弱性対策情報の登録件数が累計10,000件を突破~

 2011年第1四半期(2011年1月1日から3月31日まで)にJVN iPedia日本語版へ登録した脆弱性対策情報は、国内製品開発者から収集したもの2件(公開開始からの累計は118件)、JVNから収集したもの121件(累計1,116件)、NVDから収集したもの461件(累計8,977件)、合計584件(累計10,211件)でした。脆脆弱性対策情報の登録件数が、累計10,000件を突破しました。(表1、図1)

 近年スマートフォンの普及が加速しており、Androidで動作するソフトウェアも多くなっています。 2011年第1四半期(2011年1月1日から3月31日まで)においては、Androidのセキュリティに関する問題も散見される状況から、米アップル社の「iPhone」に加え、米Google 社の「Android」に関するもの 12件、米Research In Motion(RIM)社の「BlackBerry」に関するもの10件の登録を行っています。

 JVN iPedia英語版は、国内製品開発者から収集したもの1件(累計117件)、JVNから収集したもの24件(累計505件)、合計25件(累計622件)でした。

表1.2011年第1四半期の登録件数
  情報の収集元 登録件数 累計件数
日本語版 国内製品開発者 2 118
JVN 121 1,116
NVD 461 8,977
584 10,211
英語版 国内製品開発者 1 117
JVN 24 505
25 622

図1. JVN iPediaの登録件数の四半期別推移

1.2 脆弱性対策情報データベース JVN iPediaの登録状況(詳細)

多様な製品分野の脆弱性対策情報が利用可能

 2011年3月末までに登録をしたJVN iPedia日本語版の脆弱性対策情報10,211件を集計した結果、登録をしたベンダー数は計572ベンダー、製品数は計2,477製品となりました。

 登録しているソフトウェアを用途別で分類すると、ウェブブラウザや文書作成ソフトなどのPC向けアプリケーションソフトウェアに限らず、サーバ製品、スマートフォン、情報家電、産業制御システムの一種である監視制御システム(SCADA)といった様々な製品分野のソフトウェアの脆弱性対策情報を登録しています。

 表2は、登録されている脆弱性対策情報をベンダー別に上位15件を集計した結果です。1位がレッドハット社で3,528件、2位がオラクル社で2,292件となっており、広く利用されているベンダーやソフトウェアに関する登録を多く行っています。これらのソフトウェアの利用者は、JVN iPediaにて容易に脆弱性対策情報を利用することが可能です。

 製品利用者は、利用しているソフトウェアの脆弱性対策情報を日々収集し、ソフトウェアのバージョンアップまたはセキュリティ対策パッチの適用などを遅滞なく行う事が必要です。

表2. ベンダー別の登録件数上位15件
No. ベンダー名 ソフトウェア製品名
(主な製品など)
登録件数
1レッドハットEnterprise Linux、Desktop3,528 件
2オラクルOracle Database、Oracle Solaris2,292 件
3ミラクル・リナックスMIRACLE LINUX 、Asianux Server2,221 件
4マイクロソフトMicrosoft Windows、Microsoft Office1,538 件
5アップルApple Mac OS、QuickTime、Safari1,441 件
6ターボリナックスTurbolinux Server、Turbolinux Workstation986 件
7ヒューレット・パッカードHP-UX、OpenView785 件
8IBMAIX、DB2、WebSphere601 件
9Mozilla FoundationFirefox、Thunderbird、SeaMonkey530 件
10アドビシステムズAdobe Reader、Adobe Flash Player447 件
11シスコシステムズIOS、Adaptive Security Appliances361 件
12kernel.orgLinux Kernel、Linux-PAM310 件
13VMwareVMware Player、VMware Server274 件
14PHP GroupPHP204 件
15Apache Software FoundationApache HTTP Server、Tomcat176 件

1.3 登録している脆弱性対策情報に関する注目情報

~PCで広く利用されるソフトウェアの脆弱性対策情報が多数存在。速やかなバージョンアップを~

 近年、普段の業務や日常的に使用しているソフトウェアの脆弱性を突いた攻撃が頻発しています。この攻撃は「標的型攻撃」(*4)や脆弱性を利用したウイルスなどでも利用されることが多く、深刻な被害に発展するケースも発生しています。

 JVN iPediaでは、共通脆弱性評価システムCVSS(*5)により、それぞれの脆弱性の深刻度(*6)を公開しています。図2は、IPAが公開をしている「2011年版 10大脅威 」(*7)の3位に記載のある定番ソフトウェアを参考にして、ソフトウェア別の深刻度割合を集計したものです。Microsoft Internet Explorerに関するもの が318件、Microsoft Officeに関するものが302件、それ以外のソフトウェアでも100 件以上の脆弱性対策情報が多数存在しています。深刻度別の件数を集計するとレベルIII(危険、CVSS基本値=7.0~10.0)が70%、レベルII(警告、CVSS基本値=4.0~6.9)が26%、レベルI(注意、CVSS基本値=0.0~3.9)が2%となっています。

 図3は定番ソフトウェアの登録件数の年別推移です。Adobe Acrobat、Adobe Reader、Adobe Flash Playerといったソフトウェアは年々登録件数が増加しており、2008年から2010年では、3倍(Adobe Flash Playerは、20件から57件に増加)から4倍(Adobe AcrobatとAdobe Readerはそれぞれ17件から68件に増加)となっています。

 製品利用者は情報を日々収集し、製品のバージョンアップなどを遅滞なく行ってください。

図2. 定番ソフトウェアの深刻度割合

図3. 定番ソフトウェアの登録件数の年別推移

1.4 MyJVNバージョンチェッカがOVAL Adoption(OVAL準拠)認定を取得

 IPAでは、PCで広く利用されるソフトウェアの一部について、最新のバージョンかどうかを簡単に確認できるツール「MyJVNバージョンチェッカ(*8)」を無償で提供しています。

 2011年3月15日に、MyJVNバージョンチェッカおよびMyJVNセキュリティ設定チェッカは、MITRE社によりOVAL Adoption(OVAL準拠)の認定を受けました。

 セキュリティ検査言語OVAL(*9)(Open Vulnerability and Assessment Language)は、コンピュータのセキュリティ設定状況を検査するための仕様として、米国政府の支援を受けた非営利団体のMITRE社が仕様策定を進めているもので、米国政府共通設定基準(*10)の脆弱性対策においても活用されています。

 現在、MyJVNバージョンチェッカおよびMyJVNセキュリティ設定チェッカで使用しているOVALデータ(脆弱性定義データ)はIPAにて作成していますが、共通仕様としてOVALの実装互換が確認されたことから、IPA以外の製品開発者が作成したOVALデータ(脆弱性定義データ)による脆弱性チェック・セキュリティチェックをすることが容易になります。

 今後もOVAL等の共通基準の導入を進めることにより、国内外の脆弱性対策情報流通の促進を図ると共に、利用者側の客観的・効率的な脆弱性対策を目指した利活用基盤を整備していきます。

2. 2011年 第1四半期 脆弱性対策情報データベース JVN iPediaの登録状況(詳細)

2.1. 脆弱性対策情報の登録状況

2.1.1 今四半期に登録した脆弱性の種類別件数

 共通脆弱性タイプ一覧CWE(*11) は、脆弱性の種類を識別するための共通の脆弱性タイプの一覧です。
CWEを用いると、ソフトウェアの多種多様にわたる脆弱性に関して、脆弱性の種類(脆弱性タイプ)の識別や分析、国内外での比較などが可能になります。図4のグラフは、JVN iPediaへ今四半期に登録した脆弱性対策情報を、CWEで分類した、脆弱性の種類ごとの件数を示したものです。

 件数が多い脆弱性は、CWE-119(バッファエラー)が132件、CWE-399(リソース管理の問題)が66件、CWE-20(不適切な入力確認)が60件、CWE-189(数値処理の問題)が37件、CWE-264(認可・権限・アクセス制御の問題)が26件、CWE-200(情報漏えい)が21件、CWE-79(クロスサイト・スクリプティング)が19件、などとなっています。

 これらは広く認知されている脆弱性の種類です。製品開発者は、これらの脆弱性に関してIPAが公開している「セキュア・プログラミング講座(*12)」などを参考に、ソフトウェアの企画・設計段階からセキュリティ実装を考慮する必要があります。なお、実習形式による脆弱性体験学習ツール「AppGoat」(*13)でも効果的な学習が可能です。

図4. 2011年第1四半期に登録した脆弱性の種類別件数

2.1.2 脆弱性に関する年別の深刻度別割合

 図5のグラフはJVN iPediaに登録済みの脆弱性対策情報について、製品開発者やセキュリティポータルサイト等が脆弱性の対策情報を公開した日を基にした、脆弱性の深刻度別の件数の公開年別推移を示したものです。2008年以降はレベルIII(危険、CVSS基本値=7.0~10.0)の割合が増加傾向にあり、2010年は50% , 2011年は56%を超える割合になっています。

 公開開始から2011年3月31日までの割合は、レベルIII(危険、CVSS基本値=7.0~10.0)が47%、レベルII(警告、CVSS基本値=4.0~6.9)が45%、レベルI(注意、CVSS基本値=0.0~3.9)が8%となっています。

 深刻度の高い脆弱性が多数公開されていることから、製品利用者は情報を日々収集し、製品のバージョンアップやセキュリティ対策パッチの適用などを遅滞なく行うことが必要です。

図5. 脆弱性に関する年別の深刻度別割合

2.1.3 脆弱性対策情報を公表した製品の種類別件数

 図6のグラフはJVN iPediaに登録済みの脆弱性対策情報について、その製品の種類別件数の公開年別推移を示したものです。Adobe Reader、Adobe Flash Player、Safari、Internet Explorer、Firefoxなどのデスクトップアプリケーションや、Webサーバ、アプリケーションサーバ、データベースなどのミドルウェア、また、PHP、Javaなどの開発言語といったアプリケーションの脆弱性対策情報の公開が年々増加しています。毎年、数多くのアプリケーションが新しく開発され、それらにおいて脆弱性が発見されており、アプリケーションのセキュリティ対策は重要度を増しています。

 2008年頃からは、重要インフラなどで利用される、監視制御システム(SCADA:Supervisory Control And Data Acquisition)についても脆弱性の対策情報が公開されています。2008年分として8件、2009年分は9件、2010年分は6件、2011年分は10 件、合計33件のSCADAに関する脆弱性対策情報を公開しています。

 2010年にはSCADAを攻撃対象とした、Windows シェルの脆弱性(MS10-046)を悪用して感染を拡げるウイルスStuxnet(*14)も発見されています。製品利用者は脆弱性対策情報を日々収集し、バージョンアップやセキュリティ対策パッチの適用などを遅滞なく行うことが必要です。

図6. 脆弱性対策情報を公表した製品の種類別件数の公開年別推移

2.1.4 オープンソースソフトウェアの割合

 図7のグラフはJVN iPediaに登録済みの脆弱性対策情報について、オープンソースソフトウェア(OSS)とOSS以外のソフトウェアの公開年別推移を示したものです。OSSの割合の年別推移を見ると、近年では2008年以降のOSSの割合が減少傾向となっており、2011年では20%の割合になっています。全体件数から見た割合は、OSSが32%、OSS以外が68%となっています。

図7.オープンソースソフトウェア(OSS)とOSS以外の公開年別推移

2.1.5 ソフトウェアの開発者(ベンダー)の内訳

 図8、図9のグラフは、JVN iPediaに登録済みのソフトウェアの開発者(ベンダー)に関して、OSSのベンダーの内訳とOSS以外のベンダーの内訳をそれぞれ示したものです。

 OSSは、国内ベンダーが65、海外ベンダー(日本法人有り)が24、海外ベンダー(日本法人無し)が234、合計323ベンダーとなっています。OSS以外は、国内ベンダーが121、海外ベンダー(日本法人有り)が67、海外ベンダー(日本法人無し)が61 、合計249ベンダーとなっています。

 OSSに関しては、日本法人の無い海外ベンダーの脆弱性対策情報が数多く登録されています。OSSを利用する場合、製品のバージョンアップやセキュリティパッチの適用などのノウハウを持たない製品利用者は、製品のサポートサービスの活用、保守契約上の取り決め等の考慮が必要です。

(左)図8.OSSのベンダーの内訳、(右)図9.OSS以外のベンダーの内訳

2.2. 脆弱性対策情報の活用状況

 JVN iPediaのアクセス数は、2010年4月~2011年3月の1年間で1,557万件となっており、月平均で約130 万件のアクセスがあります。

 表3は2011年第1四半期(1月~3月)にアクセスの多かったJVN iPediaの脆弱性対策情報を、アクセス数の多い順に上位20件まで示しています。SSLやDNS実装、Apache HTTP Serverなどは、脆弱性対策情報の公開から時間が経過しても多数のアクセスがあり、利用者が注目している情報となっています。

 表4は国内の製品開発者から収集した脆弱性対策情報のアクセス数上位5件を示しています。

表3. JVN iPediaの脆弱性対策情報のアクセス数上位20件
[2011年1月~2011年3月]
# ID タイトル アクセス
CVSS
基本値
公開日
1 JVNDB-2009-002319 SSL および TLS プロトコルに脆弱性 1125 6.4 2009/12/14
2 JVNDB-2011-000008 MODx Evolution における SQL インジェクションの脆弱性 643 7.5 2011/1/26
3 JVNDB-2010-000066 アタッシェケースにおける実行ファイル読み込みに関する脆弱性 637 6.8 2010/12/17
4 JVNDB-2011-000005 Ruby Version Manager におけるエスケープシーケンスインジェクションの脆弱性 621 4.3 2011/1/18
5 JVNDB-2011-000007 Cisco Linksys WRT54GC におけるバッファオーバーフローの脆弱性 618 7.8 2011/1/21
6 JVNDB-2011-000011 EC-CUBE におけるクロスサイトスクリプティングの脆弱性 577 4.3 2011/2/2
7 JVNDB-2007-001017 Apache HTTP Server の 413 エラーメッセージにおけるHTTPメソッドを適切に検査しない問題 572 4.3 2007/12/20
8 JVNDB-2011-000003 Aipo における SQL インジェクションの脆弱性 551 4.0 2011/1/11
9 JVNDB-2010-002759 OpenSSH における共有秘密鍵の認証要求を回避される脆弱性 550 7.5 2011/2/21
10 JVNDB-2010-001229 OpenSSL における複数の関数に関する脆弱性 544 10.0 2010/4/9
11 JVNDB-2008-001495 複数の DNS 実装にキャッシュポイズニングの脆弱性 519 6.4 2008/7/23
12 JVNDB-2011-000004 Lunascape における DLL 読み込みに関する脆弱性 515 6.8 2011/1/21
13 JVNDB-2011-000006 複数の Rocomotion 製品におけるクロスサイトスクリプティングの脆弱性 508 5.0 2011/1/18
14 JVNDB-2010-002548 OpenSSL における暗号スイートのダウングレードに関する脆弱性 502 4.3 2010/12/24
15 JVNDB-2011-000013 F-Secure アンチウイルス Linux ゲートウェイにおける認証不備の脆弱性 488 5.0 2011/2/16
16 JVNDB-2011-000009 MODx Evolution におけるディレクトリトラバーサルの脆弱性 461 5.0 2011/1/26
17 JVNDB-2011-000002 SGX-SP Final および SGX-SP Final NE におけるクロスサイトスクリプティングの脆弱性 458 4.3 2011/1/11
18 JVNDB-2011-000010 Opera における実行ファイル読み込みに関する脆弱性 449 5.1 2011/2/2
19 JVNDB-2010-000061 Movable Type における SQL インジェクションの脆弱性 449 6.8 2010/12/8
20 JVNDB-2011-000001 Contents-Mall におけるパスワードの取扱いに関する脆弱性 436 2.6 2011/1/11
表4. 国内の製品開発者から収集した脆弱性対策情報のアクセス数上位5件
[2011年1月~2011年3月]
# ID タイトル アクセス
CVSS
基本値
公開日
1 JVNDB-2008-001313 JP1/Cm2/Network Node Manager におけるサービス運用妨害 (DoS) の脆弱性 256 5.0 2008/5/9
2 JVNDB-2008-001150 JP1/秘文の暗号化/復号機能および持ち出し制御機能における正しく動作が行われない問題 254 3.6 2008/3/14
3 JVNDB-2008-001895 JP1/VERITAS NetBackup の JAVA Administration GUI における特権昇格の脆弱性 243 6.5 2008/11/26
4 JVNDB-2008-001647 Jasmine の WebLink テンプレート実行時における複数の脆弱性 202 7.5 2008/9/10
5 JVNDB-2008-001911 Groupmax Workflow - Development Kit for Active Server Pages におけるクロスサイトスクリプティングの脆弱性 168 5.0 2008/12/2

注1)CVSS基本値の深刻度による色分け

CVSS基本値=0.0~3.9
深刻度=レベルI(注意)
CVSS基本値=4.0~6.9
深刻度=レベルII(警告)
CVSS基本値=7.0~10.0
深刻度=レベルIII(危険)

注2)公開日の年による色分け

2009年以前の公開 2010年の公開 2011年の公開

脚注

(*1)Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/

(*2)National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
http://www.nist.gov/

(*3)National Vulnerability Database。NISTが運営する脆弱性データベース。
http://nvd.nist.gov/home.cfm

(*4)標的型攻撃。企業の内部情報を盗むことなどを目的にして特定のターゲットを狙う攻撃のこと。

(*5)Common Vulnerability Scoring System、共通脆弱性評価システム。
http://www.ipa.go.jp/security/vuln/CVSS.html

(*6)脆弱性の深刻度評価の新バージョンCVSS v2について。
http://www.ipa.go.jp/security/vuln/SeverityLevel2.html

(*7)「2011年版 10大脅威」。
http://www.ipa.go.jp/security/vuln/10threats2011.html

(*8)MyJVNバージョンチェッカ。
http://jvndb.jvn.jp/apis/myjvn/

(*9)セキュリティ検査言語OVAL概説。
http://www.ipa.go.jp/security/vuln/OVAL.html

(*10)米国政府共通設定基準。
USGCB (United States Government Configuration Baseline)
http://usgcb.nist.gov/

(*11)Common Weakness Enumeration。概要は次を参照下さい。
http://www.ipa.go.jp/security/vuln/CWE.html

(*12)http://www.ipa.go.jp/security/awareness/vendor/programmingv2/index.html

(*13)脆弱性体験学習ツール「AppGoat」。
http://www.ipa.go.jp/security/vuln/appgoat/index.html

(*14)原子力発電所の制御システムに影響を及ぼすウイルス。
詳細は、IPA テクニカルウォッチ『新しいタイプの攻撃』に関するレポートも参照ください。
http://www.ipa.go.jp/about/technicalwatch/20101217.html

資料のダウンロード

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター 渡辺/大森
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。