脆弱性対策情報データベースJVN iPediaの登録状況
[2011年第3四半期(7月〜9月)]
掲載日 2011年10月20日
独立行政法人情報処理推進機構
1. 2011年 第3四半期 脆弱性対策情報データベース JVN iPediaの登録状況(総括)
脆弱性対策情報データベース「JVN iPedia(http://jvndb.jvn.jp/)」は、日本国内で使用されているソフトウェアの脆弱性対策情報を収集・公開することにより、脆弱性関連情報を容易に利用可能とすることを目指しています。1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情報ポータルサイトJVN(*1)で公表した脆弱性対策情報、3)米国国立標準技術研究所NIST(*2)の脆弱性データベース「NVD(*3)」が公開した脆弱性対策情報の中から情報を収集、翻訳し、2007年4月25日から公開しています。
1.1 脆弱性対策情報の登録状況
〜脆弱性対策情報の登録件数が累計11,000件を突破〜
2011年第3四半期(2011年7月1日から9月30日まで)にJVN iPedia日本語版へ登録した脆弱性対策情報は、国内製品開発者から収集したもの3件(公開開始からの累計は126件)、JVNから収集したもの124件(累計1,365件)、NVDから収集したもの397件(累計9,882件)、合計524件(累計11,373件)でした。脆弱性対策情報の登録件数が、累計11,000件を突破しました(表1、図1)。
JVN iPedia日本語版では、米国のNVDなどから産業制御システムのソフトウェアに関する脆弱性対策情報の収集を積極的に進めており、2011年9月30日時点で計68件の脆弱性対策情報を登録しています。昨年、産業制御システムを標的とするウイルス「Stuxnet(*4) 」が問題となるなど、その後も産業制御システムの脆弱性のニュースが多数取り上げられており、社会インフラに対する影響を考えると、今後注視していく必要があります。
JVN iPedia英語版は、国内製品開発者から収集したものが2件(累計125件)、JVNから収集したものが29件(累計560件)、合計31件(累計685件)でした。
| 情報の収集元 | 登録件数 | 累計件数 | |
|---|---|---|---|
| 日本語版 | 国内製品開発者 | 3 件 | 126 件 |
| JVN | 124 件 | 1,365 件 | |
| NVD | 397 件 | 9,882 件 | |
| 計 | 524 件 | 11,373 件 | |
| 英語版 | 国内製品開発者 | 2 件 | 125 件 |
| JVN | 29 件 | 560 件 | |
| 計 | 31 件 | 685 件 |
1.2 登録している脆弱性対策情報に関する注目情報(その1)
〜PCで広く利用されているソフトウェアの深刻な脆弱性対策情報が多数登録。速やかなバージョンアップを〜
普段の業務や日常的に使用しているソフトウェアの脆弱性を悪用して侵入するウイルスが頻発し、大きな問題となっています。中でも、大手総合重機メーカーへの「標的型攻撃(*5)」と呼ばれるサイバー攻撃事件(*6)が発生するなど、特定企業や個人に狙いを定め、システム内部に入り込み、機密情報や個人情報を窃取するなどの深刻な被害が発生しています。JVN iPediaでは、共通脆弱性評価システムCVSS(*7)により、それぞれの脆弱性の深刻度(*8)を公開しています。図2は、PCで広く利用されている定番ソフトウェアの深刻度割合を集計したものです。Mozilla Firefoxに関するものが565件、Microsoft Internet Explorerに関するものが345件、また他にもAdobe製品など、登録されている脆弱性対策情報が100件以上のソフトウェアが多数存在しています。深刻度別の件数では、レベルIII(危険、CVSS基本値=7.0〜10.0)が69%、レベルII(警告、CVSS基本値=4.0〜6.9)が29%、レベルI(注意、CVSS基本値=0.0〜3.9)が2%となっており、レベルIIIの危険な脆弱性が全体件数の約7割を占めています。
図3は、PCで広く利用されている定番ソフトウェアの登録件数の年別推移です。年々登録件数は増加しており、2007年は151件でしたが2010年は460件と、3倍以上の件数に増加しています。
深刻度の高い脆弱性が多数登録されています。製品利用者は情報を日々収集し、製品のバージョンアップなどを速やかに行ってください。
1.3 登録している脆弱性対策情報に関する注目情報(その2)
〜通信プロトコル IPv6を使用している製品の脆弱性にも注意が必要〜
現行の通信プロトコル「IPv4(*9)」によって割り振られるIPアドレスは枯渇状況にあり、今後は「IPv6(*10)」の利用推進や検討が必要な状況となっています。JVN iPediaでは、今後利用の拡大が予想される「IPv6」を使用している製品に関連した脆弱性対策情報を、既に累計で71件登録しています。
図4は、JVN iPedia における「IPv6」に関連した脆弱性対策情報の登録件数と深刻度の割合を示したものです。レベルIII(危険、CVSS基本値=7.0〜10.0)が56%、レベルII(警告、CVSS基本値=4.0〜6.9)が34%、レベルI(注意、CVSS基本値=0.0〜3.9)が10%となっており、深刻度が高い脆弱性対策情報が多く登録されています。
表2は、2009年以降JVN iPediaに登録されたIPv6に関連した脆弱性対策情報のうち、危険度の高い(深刻度レベルIII)ものを示しています。Windows、UNIX、LinuxといったOS製品、ルーターなどの多岐にわたる製品の脆弱性が登録されています。
通信プロトコル「IPv6」を使用している製品利用者は、脆弱性対策情報を日々収集し、製品のバージョンアップなどを速やかに行ってください。
また、IPAでは製品開発者向けにIPv6の既知の脆弱性を体系的に検証できるツールとして、「TCP/IPに係る既知の脆弱性検証ツール(*11)」の貸出を行っていますので、ご活用ください。
注1)CVSS基本値の深刻度による色分け
| CVSS基本値=0.0〜3.9 深刻度=レベルI(注意) |
CVSS基本値=4.0〜6.9 深刻度=レベルII(警告) |
CVSS基本値=7.0〜10.0 深刻度=レベルIII(危険) |
注2)公開日の年による色分け
| 2009年以前の公開 | 2010年の公開 | 2011年の公開 |
2. 2011年 第3四半期 脆弱性対策情報データベース JVN iPediaの登録状況(詳細)
2.1 脆弱性対策情報の登録状況
2.1.1 今四半期に登録した脆弱性の種類別件数
共通脆弱性タイプ一覧CWE(*12)は、脆弱性の種類を識別するための共通の脆弱性タイプの一覧です。
CWEを用いると、ソフトウェアの多種多様にわたる脆弱性に関して、脆弱性の種類(脆弱性タイプ)の識別や分析が可能になります。図5のグラフは、JVN iPediaへ今四半期に登録した脆弱性対策情報を、CWEのタイプ別に分類した件数を示したものです。
件数が多い脆弱性は、CWE-119(バッファエラー)が115件、CWE-399(リソース管理の問題)が53件、CWE-20(不適切な入力確認)が46件、CWE-79(クロスサイト・スクリプティング)が42件、CWE-264(認可・権限・アクセス制御の問題)が32件、CWE-189(数値処理の問題)が23件、CWE-200(情報漏えい)が20件、などとなっています。
これらは広く認知されている脆弱性の種類です。製品開発者は、これらの脆弱性に関してIPAが公開している「セキュア・プログラミング講座(*13)」などを参考に、ソフトウェアの企画・設計段階からセキュリティ実装を考慮する必要があります。なお、実習形式による脆弱性体験学習ツール「AppGoat」(*14)でも効果的な学習が可能です。
2.1.2 脆弱性に関する年別の深刻度別割合
図6のグラフはJVN iPediaに登録済みの脆弱性対策情報について、脆弱性の深刻度別の件数の公表年別推移を示したものです。2008年以降はレベルIII(危険、CVSS基本値=7.0〜10.0)の割合が増加傾向にあり、2010年は50%を超える割合になっています。
2011年9月30日までにJVN iPediaに登録済みの脆弱性対策情報の深刻度別割合は、レベルIII(危険、CVSS基本値=7.0〜10.0)が47%、レベルII(警告、CVSS基本値=4.0〜6.9)が45%、レベルI(注意、CVSS基本値=0.0〜3.9)が8%となっています。
深刻度の高い脆弱性が多数登録されていることから、製品利用者は情報を日々収集し、製品のバージョンアップやセキュリティ対策パッチの適用などを速やかに行うことが必要です。
2.1.3 脆弱性対策情報を公表した製品の種類別件数
図7のグラフはJVN iPediaに登録済みの脆弱性対策情報について、その製品の種類別件数の公表年別推移を示したものです。アプリケーションの脆弱性対策情報の登録が年々増加しており、2003年の145件に対し、2010年には1,629件と10倍以上の件数に増加しています。
2008年頃からは、重要インフラなどで利用される、産業制御システム(SCADA:Supervisory Control And Data Acquisition)についても脆弱性対策情報が登録されています。2008年分として8件、2009年分は10件、2010年分は14件、2011年分は36 件、合計68件のSCADAに関する脆弱性対策情報を登録しています。
毎年、数多くのアプリケーションが新しく開発され、それらにおいて脆弱性が発見されており、アプリケーションのセキュリティ対策は重要度を増しています。製品利用者は脆弱性対策情報を日々収集し、バージョンアップやセキュリティ対策パッチの適用などを速やかに行うことが必要です。
2.1.4 オープンソースソフトウェアの割合
図8のグラフはJVN iPediaに登録済みの脆弱性対策情報について、オープンソースソフトウェア(OSS)とOSS以外のソフトウェアの公表年別推移を示したものです。OSSの割合の年別推移を見ると、近年では2008年以降のOSSの割合が減少傾向となっており、2011年では26%の割合になっています。全体件数から見た割合は、OSSが32%、OSS以外が68%となっています。
2.1.5 製品開発者(ベンダー)の内訳
図9、図10のグラフは、JVN iPediaに登録済みの製品開発者(ベンダー)に関して、OSSのベンダーの内訳とOSS以外のベンダーの内訳をそれぞれ示したものです。
OSSベンダーの内訳は、国内ベンダーが67、海外ベンダー(日本法人有り)が27、海外ベンダー(日本法人無し)が256、合計350ベンダーとなっています。OSS以外は、国内ベンダーが124、海外ベンダー(日本法人有り)が84、海外ベンダー(日本法人無し)が87、合計295ベンダーとなっています。
OSSに関しては、日本法人の無い海外ベンダーの脆弱性対策情報が数多く登録されています。OSSを利用する場合、製品のバージョンアップやセキュリティパッチの適用などのノウハウを持たない製品利用者は、製品のサポートサービスの活用、保守契約上の取り決め等の考慮が必要です。
2.2 脆弱性対策情報の活用状況
JVN iPediaのアクセス数は、2010年10月〜2011年9月の1年間で2,096万件となっており、月平均で約170 万件以上のアクセスがあります。
表3は2011年第3四半期(7月〜9月)にアクセスの多かったJVN iPediaの脆弱性対策情報を、アクセス数の多い順に上位20件まで示しています。20件中15件がJVNから公表された脆弱性対策情報です。
表4は国内の製品開発者から収集した脆弱性対策情報のアクセス数上位5件を示しています。
| # | ID | タイトル | アクセス 数 |
CVSS 基本値 |
公開日 |
|---|---|---|---|---|---|
| 1 | JVNDB-2011-002172 | Apache HTTPD サーバにサービス運用妨害 (DoS) の脆弱性 | 2422 | 7.8 | 2011/9/1 |
| 2 | JVNDB-2011-000053 | Android における SSL 証明書の表示に関する脆弱性 | 1507 | 4.3 | 2011/7/29 |
| 3 | JVNDB-2011-000060 | Windows の URL プロトコルハンドラにおける実行ファイル読み込みに関する脆弱性 | 1121 | 6.8 | 2011/8/10 |
| 4 | JVNDB-2011-000052 | Internet Explorer におけるクロスサイトスクリプティングの脆弱性 | 1046 | 2.6 | 2011/7/8 |
| 5 | JVNDB-2011-000051 | ASP.NET におけるクロスサイトスクリプティングの脆弱性 | 908 | 4.3 | 2011/7/15 |
| 6 | JVNDB-2011-000048 | ALZip におけるバッファオーバーフローの脆弱性 | 858 | 6.8 | 2011/6/29 |
| 7 | JVNDB-2010-001740 | Apache Tomcat における重要な情報を取得される脆弱性 | 847 | 6.4 | 2010/7/29 |
| 8 | JVNDB-2011-000059 | Mozilla Firefox におけるクロスサイトスクリプティングの脆弱性 | 809 | 2.6 | 2011/7/28 |
| 9 | JVNDB-2011-000064 | Windows XP におけるサービス運用妨害 (DoS) の脆弱性 | 779 | 4.3 | 2011/8/19 |
| 10 | JVNDB-2011-000054 | Google 検索アプライアンスにおけるクロスサイトスクリプティングの脆弱性 | 728 | 4.3 | 2011/7/15 |
| 11 | JVNDB-2011-000061 | Internet Explorer におけるウィンドウ偽装の脆弱性 | 724 | 4.3 | 2011/8/12 |
| 12 | JVNDB-2011-000050 | XnView における実行ファイル読み込みに関する脆弱性 | 723 | 5.1 | 2011/7/5 |
| 13 | JVNDB-2009-002319 | SSL および TLS プロトコルに脆弱性 | 717 | 6.4 | 2009/12/14 |
| 14 | JVNDB-2011-000056 | Plone におけるクロスサイトスクリプティングの脆弱性 | 673 | 2.6 | 2011/7/27 |
| 15 | JVNDB-2011-001930 | Apache Tomcat におけるアクセス制限を回避される脆弱性 | 668 | 4.4 | 2011/7/26 |
| 16 | JVNDB-2011-000063 | Aipo における SQL インジェクションの脆弱性 | 667 | 6.5 | 2011/8/16 |
| 17 | JVNDB-2011-000049 | Opera におけるサービス運用妨害 (DoS) の脆弱性 | 659 | 4.3 | 2011/7/5 |
| 18 | JVNDB-2011-000035 | Java Web Start における DLL 読み込みに関する脆弱性 | 629 | 6.8 | 2011/6/10 |
| 19 | JVNDB-2011-000043 | 一太郎シリーズにおける任意のコードが実行される脆弱性 | 610 | 9.3 | 2011/6/16 |
| 20 | JVNDB-2007-001017 | Apache HTTP Server の 413 エラーメッセージにおける HTTP メソッドを適切に検査しない問題 | 603 | 4.3 | 2007/12/20 |
| # | ID | タイトル | アクセス 数 |
CVSS 基本値 |
公開日 |
|---|---|---|---|---|---|
| 1 | JVNDB-2011-001928 | JP1/Performance Management - Web Console におけるクロスサイトスクリプティングの脆弱性 | 383 | 4.3 | 2011/7/26 |
| 2 | JVNDB-2011-001927 | HiRDB Control Manager - Agent における任意のコマンドを実行される脆弱性 | 383 | 10.0 | 2011/7/26 |
| 3 | JVNDB-2010-002808 | Accela BizSearch の標準検索画面におけるクロスサイトスクリプティングの脆弱性 | 363 | 4.3 | 2011/5/26 |
| 4 | JVNDB-2010-002807 | Accela BizSearch の標準検索画面におけるクロスサイトスクリプティングの脆弱性 | 326 | 4.3 | 2011/5/26 |
| 5 | JVNDB-2011-001633 | Hitachi Web Server の RequestHeader ディレクティブによるヘッダカスタマイズにおける破棄したメモリ内のデータが参照される脆弱性 | 312 | 5.1 | 2011/5/26 |
注1)CVSS基本値の深刻度による色分け
| CVSS基本値=0.0〜3.9 深刻度=レベルI(注意) |
CVSS基本値=4.0〜6.9 深刻度=レベルII(警告) |
CVSS基本値=7.0〜10.0 深刻度=レベルIII(危険) |
注2)公開日の年による色分け
| 2009年以前の公開 | 2010年の公開 | 2011年の公開 |
脚注
(*1)Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/
(*2)National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
http://www.nist.gov/
(*3)National Vulnerability Database。NISTが運営する脆弱性データベース。
http://nvd.nist.gov/home.cfm
(*4)原子力施設の制御システムに影響を及ぼすウイルス。IPAテクニカルウォッチ「『新しいタイプの攻撃』に関するレポート」も参照。
http://www.ipa.go.jp/about/technicalwatch/20101217.html
(*5)企業の内部情報を盗むことなどを目的にして特定のターゲットを狙う攻撃のこと。
(*6) プレス発表「標的型攻撃メールによるサイバー攻撃に関する注意喚起」も参照。
http://www.ipa.go.jp/about/press/20110929_3.html
(*7)Common Vulnerability Scoring System、共通脆弱性評価システム。
http://www.ipa.go.jp/security/vuln/CVSS.html
(*8)脆弱性の深刻度評価の新バージョンCVSS v2について。
http://www.ipa.go.jp/security/vuln/SeverityLevel2.html
(*9) Internet Protocol Version 4 : 現在、主流に使われているインターネット通信の仕様。IPで通信を行うには、通信を行う機器にIPアドレス(識別用の番号)を割り当てる必要がある。IPv4は2の32乗(約43億)個のIPアドレスが割当て可能であるが、その在庫は2011年2月に枯渇した。
(*10)Internet Protocol Version 6 : IPv4の後継の仕様。IPv6は2の128乗個のIPアドレスが割当て可能であり、IPアドレスの枯渇を事実上考慮しなくてよい。
(*11)TCP/IPに係る既知の脆弱性検証ツール V5.0
http://www.ipa.go.jp/security/vuln/vuln_TCPIP_Check.html
(*12)Common Weakness Enumeration。概要は次を参照ください。
http://www.ipa.go.jp/security/vuln/CWE.html
(*13)http://www.ipa.go.jp/security/awareness/vendor/programmingv2/index.html
(*14)脆弱性体験学習ツール「AppGoat」。
http://www.ipa.go.jp/security/vuln/appgoat/index.html
資料のダウンロード
参考情報
本件に関するお問い合わせ先
IPA セキュリティセンター 渡辺/大森
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: 