脆弱性対策情報データベースJVN iPediaの登録状況
[2011年第4四半期(10月〜12月)]
掲載日 2012年1月23日
独立行政法人情報処理推進機構
>> ENGLISH
1. 2011年 第4四半期 脆弱性対策情報データベース JVN iPediaの登録状況(総括)
脆弱性対策情報データベース「JVN iPedia(http://jvndb.jvn.jp/)」は、日本国内で使用されているソフトウェアの脆弱性対策情報を収集・公開することにより、脆弱性関連情報を容易に利用可能とすることを目指しています。1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情報ポータルサイトJVN(*1)で公表した脆弱性対策情報、3)米国国立標準技術研究所NIST(*2)の脆弱性データベース「NVD(*3)」が公開した脆弱性対策情報の中から情報を収集、翻訳し、2007年4月25日から公開しています。
1.1 脆弱性対策情報の登録状況
〜脆弱性対策情報の登録件数が累計12,000件を突破〜
2011年第4四半期(2011年10月1日から12月31日まで)にJVN iPedia日本語版へ登録した脆弱性対策情報は、国内製品開発者から収集したもの1件(公開開始からの累計は127件)、JVNから収集したもの205件(累計1,570件)、NVDから収集したもの1,111件(累計10,993件)、合計1,317件(累計12,690件)となりました。第4四半期の脆弱性対策情報の登録件数は、第3四半期に比べ2.5倍となり、累計12,000件を突破しました(表1、図1)。
JVN iPedia英語版は、国内製品開発者から収集したものが0件(累計125件)、JVNから収集したものが35件(累計595件)、合計35件(累計720件)でした。
| 情報の収集元 | 登録件数 | 累計件数 | |
|---|---|---|---|
| 日本語版 | 国内製品開発者 | 1 件 | 127 件 |
| JVN | 205 件 | 1,570 件 | |
| NVD | 1,111 件 | 10,993 件 | |
| 計 | 1,317 件 | 12,690 件 | |
| 英語版 | 国内製品開発者 | 0 件 | 125 件 |
| JVN | 35 件 | 595 件 | |
| 計 | 35 件 | 720 件 |
なお、国外のソフトウェア製品が幅広く利用されてきている昨今の状況を鑑み、第4四半期より、NVDから日々公開される全ての脆弱性対策情報を一両日中に翻訳・公開しています。
対象製品を拡げ情報公開の即時性を高めたことにより、システム運用者が、より幅広くかつ迅速に情報を取得できるようになりました。
1.2 登録している脆弱性対策情報に関する注目情報
〜PCで広く利用されているソフトウェアの深刻な脆弱性対策情報が多数登録。速やかなバージョンアップを〜
昨今の機密情報や個人情報の窃取を目的としたサイバー攻撃(*4)は、ソフトウェアの脆弱性を悪用し、複数の既存攻撃を組合せ、ソーシャルエンジニアリングにより特定の組織や個人をねらい、対応が難しく執拗なものとなっています。
特に、PCで広く利用されている定番ソフトウェアの脆弱性が悪用されています。図2は、PCで広く利用されている定番ソフトウェア8製品の登録件数の年別推移です。年々登録件数は増加しており、2011年も、2010年とほぼ同数の450件が登録されています。代表的な8製品だけで登録件数全体の16%を占めています。
JVN iPediaでは、共通脆弱性評価システムCVSS(*5)により、それぞれの脆弱性の深刻度(*6)を公開しています。図3は、PCで広く利用されている定番ソフトウェア8製品における深刻度割合を集計したものです。内訳はMozilla Firefoxに関するものが602件、Microsoft Internet Explorerが360件、Adobe 3製品(Reader、Acrobat、Flash Player)が599件です。これらの脆弱性の深刻度別の割合は、レベルIII(危険、CVSS基本値=7.0〜10.0)が65%、レベルII(警告、CVSS基本値=4.0〜6.9)が32%、レベルI(注意、CVSS基本値=0.0〜3.9)が3%となっており、レベルIIIの危険な脆弱性が約2/3を占めています。
深刻度の高い脆弱性が多数登録されています。製品利用者は情報を日々収集し、製品のバージョンアップなどを速やかに行ってください。
IPAでは、使用しているソフトウェアのバージョンが最新であるか容易に確認できるMyJVNバージョンチェッカ(*7)を公開しています。また、システム管理者向けに複数台のPCを自動的にチェックできるコマンドライン版(*8)の提供も11月から開始しました。
2. 2011年 第4四半期 脆弱性対策情報データベース JVN iPediaの登録状況(詳細)
2.1 脆弱性対策情報の登録状況
2.1.1 2011年第4四半期に登録した脆弱性の種類別件数
共通脆弱性タイプ一覧CWE(*9)は、脆弱性の種類を識別するための共通の脆弱性タイプの一覧です。
CWEを用いると、ソフトウェアの多種多様にわたる脆弱性に関して、脆弱性の種類(脆弱性タイプ)の識別や分析が可能になります。図4のグラフは、JVN iPediaへ2011年第4四半期に登録した脆弱性対策情報を、CWEのタイプ別に分類した件数を示したものです。
件数が多い脆弱性は、CWE-119(バッファエラー)が159件、CWE-79(クロスサイト・スクリプティング)が131件、CWE-20(不適切な入力確認)が118件、CWE-399(リソース管理の問題)が118件、CWE-89(SQLインジェクション)が107件、などとなっています。
これらは広く認知されている脆弱性の種類です。製品開発者は、これらの脆弱性に関してIPAが公開している「セキュア・プログラミング講座(*10)」などを参考に、ソフトウェアの企画・設計段階からセキュリティ実装を考慮する必要があります。なお、実習形式による脆弱性体験学習ツール「AppGoat」(*11)でも効果的な学習が可能です。
2.1.2 脆弱性に関する年別の深刻度別割合
図5のグラフはJVN iPediaに登録済みの脆弱性対策情報について、脆弱性の深刻度別の件数の公表年別推移を示したものです。2008年以降はレベルIII(危険、CVSS基本値=7.0〜10.0)の割合が増加傾向にあり、2010年以降は50%を超える割合になっています。
2011年12月31日までにJVN iPediaに登録済みの脆弱性対策情報の深刻度別割合は、レベルIII(危険、CVSS基本値=7.0〜10.0)が47%、レベルII(警告、CVSS基本値=4.0〜6.9)が45%、レベルI(注意、CVSS基本値=0.0〜3.9)が8%となっています。
深刻度の高い脆弱性が多数登録されていることから、製品利用者は情報を日々収集し、製品のバージョンアップやセキュリティ対策パッチの適用などを速やかに行うことが重要です。
2.1.3 脆弱性対策情報を公表した製品の種類別件数
図6のグラフはJVN iPediaに登録済みの脆弱性対策情報について、その製品の種類別件数の公表年別推移を示したものです。2011年第4四半期から、NVDから日々公開される全ての脆弱性対策情報を登録対象としたこともあり、アプリケーションの脆弱性対策情報の登録が増加しています。2010年の1,634件に対し、2011年には2,215件と約1.4倍の件数となりました。
2008年頃からは、重要インフラなどで利用される、産業制御システム(SCADA:Supervisory Control And Data Acquisition)の脆弱性対策情報が登録されています。2008年分として8件、2009年分は10件、2010年分は16件、2011年分は68 件、合計102件のSCADAに関する脆弱性対策情報を登録しています。
毎年、数多くのアプリケーションが新しく開発され、それらにおいて脆弱性が発見されており、アプリケーションのセキュリティ対策は重要度を増しています。製品利用者は脆弱性対策情報を日々収集し、バージョンアップやセキュリティ対策パッチの適用などを速やかに行うことが重要です。
2.1.4 オープンソースソフトウェアの割合
図7のグラフはJVN iPediaに登録済みの脆弱性対策情報について、オープンソースソフトウェア(OSS)とOSS以外のソフトウェアの公表年別推移を示したものです。OSSの割合の年別推移を見ると、近年では2008年以降のOSSの割合が減少傾向となっていましたが、2011年には884件のOSSを登録しており、昨年の27%から33%に増加しました。こちらも、NVDから日々公開される全ての脆弱性対策情報を登録対象としたことが一因であると考えられます。全体件数から見た割合は、OSSが33%、OSS以外が67%となっています。
2.1.5 製品開発者(ベンダー)の内訳
図8、図9のグラフは、JVN iPediaに登録済みの製品開発者(ベンダー)に関して、OSSのベンダーの内訳とOSS以外のベンダーの内訳をそれぞれ示したものです。
OSSベンダーの内訳は、国内ベンダーが74、海外ベンダー(日本法人有り)が29、海外ベンダー(日本法人無し)が349、合計452ベンダーとなっています。OSS以外は、国内ベンダーが130、海外ベンダー(日本法人有り)が95、海外ベンダー(日本法人無し)が195 、合計420ベンダーとなっています。
OSSに関しては、日本法人の無い海外ベンダーの脆弱性対策情報が数多く登録されています。OSSを利用する場合、製品のバージョンアップやセキュリティパッチの適用などのノウハウを持たない製品利用者は、製品のサポートサービスの活用、保守契約上の取り決め等の考慮が必要です。
2.2 脆弱性対策情報の活用状況
表2は2011年第4四半期(10月〜12月)にアクセスの多かったJVN iPediaの脆弱性対策情報を、アクセス数の多い順に上位20件まで示しています。20件中12件がJVNから公表された脆弱性対策情報です。
表3は国内の製品開発者から収集した脆弱性対策情報のアクセス数上位5件を示しています。
| # | ID | タイトル | アクセス 数 |
CVSS 基本値 |
公開日 |
|---|---|---|---|---|---|
| 1 | JVNDB-2011-000089 | 東方緋想天におけるサービス運用妨害 (DoS) の脆弱性 | 2,073 | 5.0 | 2011/10/28 |
| 2 | JVNDB-2011-002172 | Apache HTTPD サーバにサービス運用妨害 (DoS) の脆弱性 | 1,683 | 7.8 | 2011/9/1 |
| 3 | JVNDB-2011-002305 | SSL と TLS の CBC モードに選択平文攻撃の脆弱性 | 1,306 | 4.3 | 2011/10/4 |
| 4 | JVNDB-2011-000088 | iOS 上の Safari におけるクロスサイトスクリプティングの脆弱性 | 1,259 | 2.6 | 2011/10/17 |
| 5 | JVNDB-2011-000085 | DAEMON Tools におけるサービス運用妨害 (DoS) の脆弱性 | 1,228 | 4.9 | 2011/10/13 |
| 6 | JVNDB-2011-002351 | Apache HTTP Server の mod_proxy モジュールにおけるイントラネットサーバにリクエストを送信される脆弱性 | 1,173 | 5.0 | 2011/10/12 |
| 7 | JVNDB-2011-000091 | FFFTP における実行ファイル読み込みに関する脆弱性 | 1,157 | 5.1 | 2011/10/28 |
| 8 | JVNDB-2011-002786 | Apache HTTP Server におけるサービス運用妨害 (DoS) の脆弱性 | 1,006 | 4.0 | 2011/11/11 |
| 9 | JVNDB-2011-002979 | Android におけるクロスアプリケーションスクリプティングの脆弱性 | 979 | 4.3 | 2011/11/21 |
| 10 | JVNDB-2011-000087 | EC-CUBE における SQL インジェクションの脆弱性 | 954 | 5.0 | 2011/10/14 |
| 11 | JVNDB-2011-000099 | 茶筌 (ChaSen) におけるバッファオーバーフローの脆弱性 | 952 | 6.8 | 2011/11/8 |
| 12 | JVNDB-2011-000079 | サイボウズ Office におけるアクセス制限不備の脆弱性 | 902 | 4.0 | 2011/10/7 |
| 13 | JVNDB-2011-000076 | HP の回し者製 日記における OS コマンドインジェクションの脆弱性 | 876 | 7.5 | 2011/11/21 |
| 14 | JVNDB-2011-000092 | 複数の D-Link 製品におけるバッファオーバーフローの脆弱性 | 841 | 10.0 | 2011/10/28 |
| 15 | JVNDB-2011-000100 | PowerChute Business Edition におけるクロスサイトスクリプティングの脆弱性 | 839 | 4.3 | 2011/12/2 |
| 16 | JVNDB-2011-000105 | iOS 上の Safari におけるサービス運用妨害 (DoS) の脆弱性 | 803 | 4.3 | 2011/12/15 |
| 17 | JVNDB-2011-000082 | WEB FORUM におけるクロスサイトスクリプティングの脆弱性 | 792 | 4.3 | 2011/10/11 |
| 18 | JVNDB-2011-000068 | Phorum における複数の脆弱性 | 781 | 2.6 | 2011/9/2 |
| 19 | JVNDB-2011-003069 | ISC BIND にサービス運用妨害 (DoS) の脆弱性 | 672 | 5.0 | 2011/11/28 |
| 20 | JVNDB-2011-000086 | DBD::mysqlPP における SQL インジェクションの脆弱性 | 672 | 6.8 | 2011/10/14 |
| # | ID | タイトル | アクセス 数 |
CVSS 基本値 |
公開日 |
|---|---|---|---|---|---|
| 1 | JVNDB-2011-003295 | JP1/Cm2/Network Node Manager i におけるサービス運用妨害 (DoS) の脆弱性 | 197 | 7.8 | 2011/12/9 |
| 2 | JVNDB-2008-001647 | Jasmine の WebLink テンプレート実行時における複数の脆弱性 | 161 | 7.5 | 2008/9/10 |
| 3 | JVNDB-2008-001150 | JP1/秘文の暗号化/復号機能および持ち出し制御機能における正しく動作が行われない問題 | 129 | 3.6 | 2008/3/14 |
| 4 | JVNDB-2010-002807 | Accela BizSearch の標準検索画面におけるクロスサイトスクリプティングの脆弱性 | 117 | 4.3 | 2011/5/26 |
| 5 | JVNDB-2011-001927 | HiRDB Control Manager - Agent における任意のコマンドを実行される脆弱性 | 117 | 10.0 | 2011/7/26 |
注1)CVSS基本値の深刻度による色分け
| CVSS基本値=0.0〜3.9 深刻度=レベルI(注意) |
CVSS基本値=4.0〜6.9 深刻度=レベルII(警告) |
CVSS基本値=7.0〜10.0 深刻度=レベルIII(危険) |
注2)公開日の年による色分け
| 2009年以前の公開 | 2010年の公開 | 2011年の公開 |
脚注
(*1)Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/
(*2)National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
http://www.nist.gov/
(*3)National Vulnerability Database。NISTが運営する脆弱性データベース。
http://nvd.nist.gov/home.cfm
(*4)プレス発表「標的型攻撃メールによるサイバー攻撃に関する注意喚起」も参照。
http://www.ipa.go.jp/about/press/20110929_3.html
(*5)Common Vulnerability Scoring System、共通脆弱性評価システム。
http://www.ipa.go.jp/security/vuln/CVSS.html
脆弱性の基本評価基準の数値を基にI,U,Vの3段階とし、数値が大きいほど深刻度が高い。
- レベルV:リモートからシステムを完全に制御されるような場合や大部分の情報が漏えいするような脅威。
- レベルU:一部の情報が漏えいするような場合やサービス停止につながるような脅威。
- レベルT:攻撃する為の条件が複雑な場合や、レベルUに該当するが再現性が低い脅威。
(*6)脆弱性の深刻度評価の新バージョンCVSS v2について。
http://www.ipa.go.jp/security/vuln/SeverityLevel2.html
(*7)MyJVNバージョンチェッカ。
http://jvndb.jvn.jp/apis/myjvn/
(*8)プレス発表「オフライン環境でもチェックが可能となったMyJVN バージョンチェッカ」も参照。
(*9)Common Weakness Enumeration。概要は次を参照ください。
http://www.ipa.go.jp/security/vuln/CWE.html
(*10)http://www.ipa.go.jp/security/awareness/vendor/programmingv2/index.html
(*11)脆弱性体験学習ツール「AppGoat」。
http://www.ipa.go.jp/security/vuln/appgoat/index.html
資料のダウンロード
参考情報
本件に関するお問い合わせ先
IPA セキュリティセンター 渡辺/大森
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: 