1. 2011年 第1四半期 脆弱性対策情報データベース JVN iPediaの登録状況（総括）

　脆弱性対策情報データベース「JVN iPedia（ http://jvndb.jvn.jp/ ）」は、日本国内で使用されているソフトウェアの脆弱性対策情報を収集することにより、脆弱性関連情報を容易に利用可能とすることを目指しています。1）国内のソフトウェア開発者が公開した脆弱性対策情報、2）脆弱性対策情報ポータルサイトJVN^(*1)で公表した脆弱性対策情報、3）米国国立標準技術研究所NIST^(*2)の脆弱性データベース「NVD^(*3)」が公開した脆弱性対策情報、の中から情報を収集、翻訳し、2007年4月25日から公開しています。

1.1 脆弱性対策情報の登録状況

〜脆弱性対策情報の登録件数が累計10,000件を突破〜

　2011年第1四半期（2011年1月1日から3月31日まで）にJVN iPedia日本語版へ登録した脆弱性対策情報は、国内製品開発者から収集したもの2件（公開開始からの累計は118件）、JVNから収集したもの121件（累計1,116件）、NVDから収集したもの461件（累計8,977件）、合計584件（累計10,211件）でした。脆脆弱性対策情報の登録件数が、累計10,000件を突破しました。（表1、図1）

　近年スマートフォンの普及が加速しており、Androidで動作するソフトウェアも多くなっています。 2011年第1四半期（2011年1月1日から3月31日まで）においては、Androidのセキュリティに関する問題も散見される状況から、米アップル社の「iPhone」に加え、米Google 社の「Android」に関するもの 12件、米Research In Motion（RIM）社の「BlackBerry」に関するもの10件の登録を行っています。

　JVN iPedia英語版は、国内製品開発者から収集したもの1件（累計117件）、JVNから収集したもの24件（累計505件）、合計25件（累計622件）でした。

表1．2011年第1四半期の登録件数

	情報の収集元	登録件数	累計件数
日本語版	国内製品開発者	2 件	118 件
	JVN	121 件	1,116 件
	NVD	461 件	8,977 件
	計	584 件	10,211 件
英語版	国内製品開発者	1 件	117 件
	JVN	24 件	505 件
	計	25 件	622 件

1.2 脆弱性対策情報データベース JVN iPediaの登録状況（詳細）

〜多様な製品分野の脆弱性対策情報が利用可能〜

　2011年3月末までに登録をしたJVN iPedia日本語版の脆弱性対策情報10,211件を集計した結果、登録をしたベンダー数は計572ベンダー、製品数は計2,477製品となりました。

　登録しているソフトウェアを用途別で分類すると、ウェブブラウザや文書作成ソフトなどのPC向けアプリケーションソフトウェアに限らず、サーバ製品、スマートフォン、情報家電、産業制御システムの一種である監視制御システム（SCADA）といった様々な製品分野のソフトウェアの脆弱性対策情報を登録しています。

　表2は、登録されている脆弱性対策情報をベンダー別に上位15件を集計した結果です。1位がレッドハット社で3,528件、2位がオラクル社で2,292件となっており、広く利用されているベンダーやソフトウェアに関する登録を多く行っています。これらのソフトウェアの利用者は、JVN iPediaにて容易に脆弱性対策情報を利用することが可能です。

　製品利用者は、利用しているソフトウェアの脆弱性対策情報を日々収集し、ソフトウェアのバージョンアップまたはセキュリティ対策パッチの適用などを遅滞なく行う事が必要です。

表2. ベンダー別の登録件数上位15件

No.	ベンダー名	ソフトウェア製品名 （主な製品など）	登録件数
1	レッドハット	Enterprise Linux、Desktop	3,528 件
2	オラクル	Oracle Database、Oracle Solaris	2,292 件
3	ミラクル・リナックス	MIRACLE LINUX 、Asianux Server	2,221 件
4	マイクロソフト	Microsoft Windows、Microsoft Office	1,538 件
5	アップル	Apple Mac OS、QuickTime、Safari	1,441 件
6	ターボリナックス	Turbolinux Server、Turbolinux Workstation	986 件
7	ヒューレット・パッカード	HP-UX、OpenView	785 件
8	IBM	AIX、DB2、WebSphere	601 件
9	Mozilla Foundation	Firefox、Thunderbird、SeaMonkey	530 件
10	アドビシステムズ	Adobe Reader、Adobe Flash Player	447 件
11	シスコシステムズ	IOS、Adaptive Security Appliances	361 件
12	kernel.org	Linux Kernel、Linux-PAM	310 件
13	VMware	VMware Player、VMware Server	274 件
14	PHP Group	PHP	204 件
15	Apache Software Foundation	Apache HTTP Server、Tomcat	176 件

1.3 登録している脆弱性対策情報に関する注目情報

〜PCで広く利用されるソフトウェアの脆弱性対策情報が多数存在。速やかなバージョンアップを〜

　近年、普段の業務や日常的に使用しているソフトウェアの脆弱性を突いた攻撃が頻発しています。この攻撃は「標的型攻撃」^(*4)や脆弱性を利用したウイルスなどでも利用されることが多く、深刻な被害に発展するケースも発生しています。

　JVN iPediaでは、共通脆弱性評価システムCVSS^(*5)により、それぞれの脆弱性の深刻度^(*6)を公開しています。図2は、IPAが公開をしている「2011年版 10大脅威 」^(*7)の3位に記載のある定番ソフトウェアを参考にして、ソフトウェア別の深刻度割合を集計したものです。Microsoft Internet Explorerに関するもの が318件、Microsoft Officeに関するものが302件、それ以外のソフトウェアでも100 件以上の脆弱性対策情報が多数存在しています。深刻度別の件数を集計するとレベルIII（危険、CVSS基本値=7.0〜10.0）が70%、レベルII（警告、CVSS基本値=4.0〜6.9）が26%、レベルI（注意、CVSS基本値=0.0〜3.9）が2%となっています。

　図3は定番ソフトウェアの登録件数の年別推移です。Adobe Acrobat、Adobe Reader、Adobe Flash Playerといったソフトウェアは年々登録件数が増加しており、2008年から2010年では、3倍（Adobe Flash Playerは、20件から57件に増加）から4倍（Adobe AcrobatとAdobe Readerはそれぞれ17件から68件に増加）となっています。

　製品利用者は情報を日々収集し、製品のバージョンアップなどを遅滞なく行ってください。

1.4 MyJVNバージョンチェッカがOVAL Adoption（OVAL準拠）認定を取得

　IPAでは、PCで広く利用されるソフトウェアの一部について、最新のバージョンかどうかを簡単に確認できるツール「MyJVNバージョンチェッカ^(*8)」を無償で提供しています。

　2011年3月15日に、MyJVNバージョンチェッカおよびMyJVNセキュリティ設定チェッカは、MITRE社によりOVAL Adoption（OVAL準拠）の認定を受けました。

　セキュリティ検査言語OVAL^(*9)（Open Vulnerability and Assessment Language）は、コンピュータのセキュリティ設定状況を検査するための仕様として、米国政府の支援を受けた非営利団体のMITRE社が仕様策定を進めているもので、米国政府共通設定基準^(*10)の脆弱性対策においても活用されています。

　現在、MyJVNバージョンチェッカおよびMyJVNセキュリティ設定チェッカで使用しているOVALデータ（脆弱性定義データ）はIPAにて作成していますが、共通仕様としてOVALの実装互換が確認されたことから、IPA以外の製品開発者が作成したOVALデータ（脆弱性定義データ）による脆弱性チェック・セキュリティチェックをすることが容易になります。

　今後もOVAL等の共通基準の導入を進めることにより、国内外の脆弱性対策情報流通の促進を図ると共に、利用者側の客観的・効率的な脆弱性対策を目指した利活用基盤を整備していきます。

2. 2011年 第1四半期 脆弱性対策情報データベース JVN iPediaの登録状況（詳細）

2.1. 脆弱性対策情報の登録状況

2.1.1 今四半期に登録した脆弱性の種類別件数

　共通脆弱性タイプ一覧CWE^(*11) は、脆弱性の種類を識別するための共通の脆弱性タイプの一覧です。
CWEを用いると、ソフトウェアの多種多様にわたる脆弱性に関して、脆弱性の種類（脆弱性タイプ）の識別や分析、国内外での比較などが可能になります。図4のグラフは、JVN iPediaへ今四半期に登録した脆弱性対策情報を、CWEで分類した、脆弱性の種類ごとの件数を示したものです。

　件数が多い脆弱性は、CWE-119（バッファエラー）が132件、CWE-399（リソース管理の問題）が66件、CWE-20（不適切な入力確認）が60件、CWE-189（数値処理の問題）が37件、CWE-264（認可・権限・アクセス制御の問題）が26件、CWE-200（情報漏えい）が21件、CWE-79（クロスサイト・スクリプティング）が19件、などとなっています。

　これらは広く認知されている脆弱性の種類です。製品開発者は、これらの脆弱性に関してIPAが公開している「セキュア・プログラミング講座^(*12)」などを参考に、ソフトウェアの企画・設計段階からセキュリティ実装を考慮する必要があります。なお、実習形式による脆弱性体験学習ツール「AppGoat」^(*13)でも効果的な学習が可能です。

2.1.2 脆弱性に関する年別の深刻度別割合

　図5のグラフはJVN iPediaに登録済みの脆弱性対策情報について、製品開発者やセキュリティポータルサイト等が脆弱性の対策情報を公開した日を基にした、脆弱性の深刻度別の件数の公開年別推移を示したものです。2008年以降はレベルIII（危険、CVSS基本値=7.0〜10.0）の割合が増加傾向にあり、2010年は50% , 2011年は56%を超える割合になっています。

　公開開始から2011年3月31日までの割合は、レベルIII（危険、CVSS基本値=7.0〜10.0）が47%、レベルII（警告、CVSS基本値=4.0〜6.9）が45%、レベルI（注意、CVSS基本値=0.0〜3.9）が8%となっています。

　深刻度の高い脆弱性が多数公開されていることから、製品利用者は情報を日々収集し、製品のバージョンアップやセキュリティ対策パッチの適用などを遅滞なく行うことが必要です。

2.1.3 脆弱性対策情報を公表した製品の種類別件数

　図6のグラフはJVN iPediaに登録済みの脆弱性対策情報について、その製品の種類別件数の公開年別推移を示したものです。Adobe Reader、Adobe Flash Player、Safari、Internet Explorer、Firefoxなどのデスクトップアプリケーションや、Webサーバ、アプリケーションサーバ、データベースなどのミドルウェア、また、PHP、Javaなどの開発言語といったアプリケーションの脆弱性対策情報の公開が年々増加しています。毎年、数多くのアプリケーションが新しく開発され、それらにおいて脆弱性が発見されており、アプリケーションのセキュリティ対策は重要度を増しています。

　2008年頃からは、重要インフラなどで利用される、監視制御システム（SCADA：Supervisory Control And Data Acquisition）についても脆弱性の対策情報が公開されています。2008年分として8件、2009年分は9件、2010年分は6件、2011年分は10 件、合計33件のSCADAに関する脆弱性対策情報を公開しています。

　2010年にはSCADAを攻撃対象とした、Windows シェルの脆弱性（MS10-046）を悪用して感染を拡げるウイルスStuxnet^(*14)も発見されています。製品利用者は脆弱性対策情報を日々収集し、バージョンアップやセキュリティ対策パッチの適用などを遅滞なく行うことが必要です。

2.1.4 オープンソースソフトウェアの割合

　図7のグラフはJVN iPediaに登録済みの脆弱性対策情報について、オープンソースソフトウェア（OSS）とOSS以外のソフトウェアの公開年別推移を示したものです。OSSの割合の年別推移を見ると、近年では2008年以降のOSSの割合が減少傾向となっており、2011年では20%の割合になっています。全体件数から見た割合は、OSSが32%、OSS以外が68%となっています。

2.1.5 ソフトウェアの開発者（ベンダー）の内訳

　図8、図9のグラフは、JVN iPediaに登録済みのソフトウェアの開発者（ベンダー）に関して、OSSのベンダーの内訳とOSS以外のベンダーの内訳をそれぞれ示したものです。

　OSSは、国内ベンダーが65、海外ベンダー（日本法人有り）が24、海外ベンダー（日本法人無し）が234、合計323ベンダーとなっています。OSS以外は、国内ベンダーが121、海外ベンダー（日本法人有り）が67、海外ベンダー（日本法人無し）が61 、合計249ベンダーとなっています。

　OSSに関しては、日本法人の無い海外ベンダーの脆弱性対策情報が数多く登録されています。OSSを利用する場合、製品のバージョンアップやセキュリティパッチの適用などのノウハウを持たない製品利用者は、製品のサポートサービスの活用、保守契約上の取り決め等の考慮が必要です。

2.2. 脆弱性対策情報の活用状況

　JVN iPediaのアクセス数は、2010年4月〜2011年3月の1年間で1,557万件となっており、月平均で約130 万件のアクセスがあります。

　表3は2011年第1四半期（1月〜3月）にアクセスの多かったJVN iPediaの脆弱性対策情報を、アクセス数の多い順に上位20件まで示しています。SSLやDNS実装、Apache HTTP Serverなどは、脆弱性対策情報の公開から時間が経過しても多数のアクセスがあり、利用者が注目している情報となっています。

　表4は国内の製品開発者から収集した脆弱性対策情報のアクセス数上位5件を示しています。

表3. JVN iPediaの脆弱性対策情報のアクセス数上位20件
[2011年1月〜2011年3月]

#	ID	タイトル	アクセス 数	CVSS 基本値	公開日
1	JVNDB-2009-002319	SSL および TLS プロトコルに脆弱性	1125	6.4	2009/12/14
2	JVNDB-2011-000008	MODx Evolution における SQL インジェクションの脆弱性	643	7.5	2011/1/26
3	JVNDB-2010-000066	アタッシェケースにおける実行ファイル読み込みに関する脆弱性	637	6.8	2010/12/17
4	JVNDB-2011-000005	Ruby Version Manager におけるエスケープシーケンスインジェクションの脆弱性	621	4.3	2011/1/18
5	JVNDB-2011-000007	Cisco Linksys WRT54GC におけるバッファオーバーフローの脆弱性	618	7.8	2011/1/21
6	JVNDB-2011-000011	EC-CUBE におけるクロスサイトスクリプティングの脆弱性	577	4.3	2011/2/2
7	JVNDB-2007-001017	Apache HTTP Server の 413 エラーメッセージにおけるHTTPメソッドを適切に検査しない問題	572	4.3	2007/12/20
8	JVNDB-2011-000003	Aipo における SQL インジェクションの脆弱性	551	4.0	2011/1/11
9	JVNDB-2010-002759	OpenSSH における共有秘密鍵の認証要求を回避される脆弱性	550	7.5	2011/2/21
10	JVNDB-2010-001229	OpenSSL における複数の関数に関する脆弱性	544	10.0	2010/4/9
11	JVNDB-2008-001495	複数の DNS 実装にキャッシュポイズニングの脆弱性	519	6.4	2008/7/23
12	JVNDB-2011-000004	Lunascape における DLL 読み込みに関する脆弱性	515	6.8	2011/1/21
13	JVNDB-2011-000006	複数の Rocomotion 製品におけるクロスサイトスクリプティングの脆弱性	508	5.0	2011/1/18
14	JVNDB-2010-002548	OpenSSL における暗号スイートのダウングレードに関する脆弱性	502	4.3	2010/12/24
15	JVNDB-2011-000013	F-Secure アンチウイルス Linux ゲートウェイにおける認証不備の脆弱性	488	5.0	2011/2/16
16	JVNDB-2011-000009	MODx Evolution におけるディレクトリトラバーサルの脆弱性	461	5.0	2011/1/26
17	JVNDB-2011-000002	SGX-SP Final および SGX-SP Final NE におけるクロスサイトスクリプティングの脆弱性	458	4.3	2011/1/11
18	JVNDB-2011-000010	Opera における実行ファイル読み込みに関する脆弱性	449	5.1	2011/2/2
19	JVNDB-2010-000061	Movable Type における SQL インジェクションの脆弱性	449	6.8	2010/12/8
20	JVNDB-2011-000001	Contents-Mall におけるパスワードの取扱いに関する脆弱性	436	2.6	2011/1/11

表4. 国内の製品開発者から収集した脆弱性対策情報のアクセス数上位5件
[2011年1月〜2011年3月]

#	ID	タイトル	アクセス 数	CVSS 基本値	公開日
1	JVNDB-2008-001313	JP1/Cm2/Network Node Manager におけるサービス運用妨害 (DoS) の脆弱性	256	5.0	2008/5/9
2	JVNDB-2008-001150	JP1/秘文の暗号化/復号機能および持ち出し制御機能における正しく動作が行われない問題	254	3.6	2008/3/14
3	JVNDB-2008-001895	JP1/VERITAS NetBackup の JAVA Administration GUI における特権昇格の脆弱性	243	6.5	2008/11/26
4	JVNDB-2008-001647	Jasmine の WebLink テンプレート実行時における複数の脆弱性	202	7.5	2008/9/10
5	JVNDB-2008-001911	Groupmax Workflow - Development Kit for Active Server Pages におけるクロスサイトスクリプティングの脆弱性	168	5.0	2008/12/2

注1）CVSS基本値の深刻度による色分け

CVSS基本値=0.0〜3.9 深刻度=レベルI（注意）

CVSS基本値=4.0〜6.9 深刻度=レベルII（警告）

CVSS基本値=7.0〜10.0 深刻度=レベルIII（危険）

注2）公開日の年による色分け

2009年以前の公開

2010年の公開

2011年の公開

脚注

資料のダウンロード

参考情報

本件に関するお問い合わせ先