1. 2012年 第1四半期 脆弱性対策情報データベース JVN iPediaの登録状況（総括）

　脆弱性対策情報データベース「JVN iPedia（http://jvndb.jvn.jp/）」は、国内外で使用されているソフトウェアの脆弱性対策情報を収集・公開することにより、脆弱性関連情報を容易に利用可能とすることを目指しています。1）国内のソフトウェア開発者が公開した脆弱性対策情報、2）脆弱性対策情報ポータルサイトJVN^(*1)で公表した脆弱性対策情報、3）米国国立標準技術研究所NIST^(*2)の脆弱性データベース「NVD^(*3)」が公開した脆弱性対策情報の中から情報を収集、翻訳し、2007年4月25日から公開しています。

1.1 脆弱性対策情報の登録状況

〜脆弱性対策情報の登録件数が累計15,000件を突破〜

　2012年第1四半期（2012年1月1日から3月31日まで）にJVN iPedia日本語版へ登録した脆弱性対策情報は、国内製品開発者から収集したもの5件（公開開始からの累計は132件）、JVNから収集したもの165件（累計1,735件）、NVDから収集したもの3,034件（累計14,027件）、合計3,204件（累計15,894件）となりました。脆弱性対策情報の登録件数が、累計15,000件を突破しました（表1、図1）。

　JVN iPedia英語版は、国内製品開発者から収集したものが6件（累計131件）、JVNから収集したものが26件（累計621件）、合計32件（累計752件）でした。

表1．2012年第1四半期の登録件数

	情報の収集元	登録件数	累計件数
日本語版	国内製品開発者	5 件	132 件
	JVN	165 件	1,735 件
	NVD	3,034 件	14,027 件
	計	3,204 件	15,894 件
英語版	国内製品開発者	6 件	131 件
	JVN	26 件	621 件
	計	32 件	752 件

　IPAでは、システム管理者が脆弱性対策に活用できるように、JVN iPediaに登録されている脆弱性対策情報の拡充を行っています。2011年第4四半期からは、NVDから日々公開される全ての脆弱性対策情報を一両日のうちに翻訳・公開しています。また今回、前四半期と比べて登録件数が大幅に増加した理由は、過去にNVDにて公開され、JVN iPediaに未反映であった2,000件のデータを登録したためです。

　対象製品を拡大したことにより、システム管理者が、より幅広い脆弱性対策情報を取得できるようになります。

　IPAでは、今後も最新の脆弱性対策情報の公開とは別に、過去に公開されたNVDの情報を翻訳・公開する予定です。それにより、脆弱性対策情報の累積件数は、2012年中に35,000件に到達する見込みです。

1.2 登録している脆弱性対策情報に関する注目情報（その1）

〜スマートフォン上で稼働するソフトウェアの脆弱性対策情報が多数登録。速やかなバージョンアップを〜

　近年、スマートフォンの利用者数は増加傾向にあり、利用者数に比例するようにスマートフォンに関する脆弱性も多数報告されています。図2は、スマートフォン上で稼働するソフトウェア（OSやアプリケーション）のプラットフォーム別のJVN iPediaへの登録件数の年別推移です。年々登録件数は増加しており、2012年第1四半期だけで127件の登録がありました。2011年と比較して、3倍以上のペースで脆弱性対策情報が登録されています。

　図3は、スマートフォン上で稼働するソフトウェアの製品区分別の脆弱性対策情報登録件数の年別推移です。2011年の後半からアプリケーションに関する脆弱性対策情報の割合が増えてきており、2012年第1四半期には60件の登録がありました。なお、この60件は全てAndroid OS上で稼働するアプリケーションについての脆弱性対策情報でした。

　JVN iPediaでは、共通脆弱性評価システムCVSS^(*4)により、それぞれの脆弱性の深刻度^(*5)を公開しています。図4は、スマートフォン上で稼働するソフトウェアの脆弱性に関する年別の深刻度別割合を集計したものです。深刻度レベルIII（危険、CVSS基本値=7.0〜10.0）の脆弱性対策情報が326件登録されており、全体の61%を占めています。

　深刻度の高い脆弱性が多数登録されています。スマートフォンの利用者は、パソコンと同様に速やかな対応を検討してください。なお、スマートフォンの安全な使い方については、IPAが提供している資料^(*6)を参考にしてください。

1.3 登録している脆弱性対策情報に関する注目情報（その2）

〜産業用制御システムに関する脆弱性対策情報が年々増加〜

　近年、工場の生産設備等で使用される監視モニタ等の産業用制御システム（ICS：Industrial Control Systems）に関するソフトウェアの脆弱性対策情報が増加しています。

　図5は、JVN iPedia における産業用制御システムに関するソフトウェアの脆弱性対策情報の、登録件数と深刻度の割合を示しています。2011年の登録件数は72件で、2010年と比較して約3.5倍に増加しており、2012年も増加の傾向にあります。

　図6、図7のグラフは、JVN iPediaに登録済みの脆弱性対策情報に関して、産業用制御システム系のソフトウェアと全体の深刻度の割合をそれぞれ示したものです。産業用制御システム系の深刻度の割合は、レベルIII（危険、CVSS基本値=7.0〜10.0）が67%、レベルII（警告、CVSS基本値=4.0〜6.9）が31%、レベルI（注意、CVSS基本値=0.0〜3.9）が2%となっており、ソフトウェア全体と比較して、深刻度の高い脆弱性対策情報が多く登録されています。

　図8は、産業用制御システムに関するソフトウェアの脆弱性対策情報を、CWE^(*7)のタイプ別に分類した件数を示したものです。任意コードの実行などの重大な脅威につながるCWE-119（バッファーエラー）の件数の割合が全体の58%を占めています。

　産業用制御システムの利用者は、脆弱性対策情報を定期的に収集し、利用している製品に脆弱性が存在する場合、開発元や販売元にバージョンアップ等の対策方法の有無を確認し、対策が存在する場合は速やかな対応を検討してください。直ちに対策が困難な場合は、産業用制御システムが設置されているネットワーク等の利用環境やリスクを評価し、その改善や対策を図るなどの対応を検討してください。^(*8)

2. 2012年 第1四半期 脆弱性対策情報データベース JVN iPediaの登録状況（詳細）

2.1 脆弱性対策情報の登録状況

2.1.1 2012年第1四半期に登録した脆弱性の種類別件数

　 図9のグラフは、JVN iPediaへ2012年第1四半期に登録した脆弱性対策情報を、CWEのタイプ別に分類した件数を示したものです。

　件数が多い脆弱性は、CWE-79（クロスサイト・スクリプティング）が499件、CWE-119（バッファエラー）が324件、CWE-264（認可・権限・アクセス制御の問題）が289件、CWE-89（SQLインジェクション）が270件、CWE-200（情報漏洩）が261件、CWE-20（不適切な入力確認）が224件、などとなっています。

　これらは広く認知されている脆弱性の種類です。製品開発者は、これらの脆弱性に関してIPAが公開している「セキュア・プログラミング講座^(*9)」などを参考に、ソフトウェアの企画・設計段階から必要なセキュリティ対策を講じる必要があります。なお、実習形式による脆弱性体験学習ツール「AppGoat」^(*10)でも効果的な学習が可能です。

2.1.2 脆弱性に関する年別の深刻度別割合

　図10のグラフはJVN iPediaに登録済みの脆弱性対策情報について、脆弱性の深刻度別の件数の公表年別推移を示したものです。

　2012年3月31日までにJVN iPediaに登録済みの脆弱性対策情報の深刻度別割合は、レベルIII（危険、CVSS基本値=7.0〜10.0）が44%、レベルII（警告、CVSS基本値=4.0〜6.9）が48%、レベルI（注意、CVSS基本値=0.0〜3.9）が8%となっています。

　深刻度の高い脆弱性が多数登録されていることから、製品利用者は情報を日々収集し、製品のバージョンアップやセキュリティ対策パッチの適用などを速やかに行うことが重要です。

2.1.3 脆弱性対策情報を公表した製品の種類別件数

　図11のグラフはJVN iPediaに登録済みの脆弱性対策情報について、その製品の種類別件数の公表年別推移を示したものです。2011年第4四半期から、NVDから日々公開される全ての脆弱性対策情報を登録対象としたこともあり、アプリケーションの脆弱性対策情報の登録が増加しています。2010年の2,322件に対し、2011年には3,627件と約1.6倍の件数となり、2012年も同じ傾向になっています。

　2008年頃からは、重要インフラなどで利用される、産業用制御システムの脆弱性対策情報が登録されています。2008年分として8件、2009年分は10件、2010年分は21件、2011年分は72 件、2012年分は57件、合計168件の産業用制御システムに関する脆弱性対策情報を登録しています。

　毎年、数多くのアプリケーションが新しく開発され、それらにおいて脆弱性が発見されており、アプリケーションのセキュリティ対策は重要度を増しています。製品利用者は脆弱性対策情報を日々収集し、バージョンアップやセキュリティ対策パッチの適用などを速やかに行うことが重要です。

2.1.4 オープンソースソフトウェアの割合

　図12のグラフはJVN iPediaに登録済みの脆弱性対策情報について、オープンソースソフトウェア（OSS）とOSS以外のソフトウェアの公表年別推移を示したものです。OSSの割合の年別推移を見ると、近年では2008年以降のOSSの割合が減少傾向となっていましたが、2011年には1,460件のOSSを登録しており、2010年の30%から35%に増加しました。こちらも、NVDから日々公開される全ての脆弱性対策情報を登録対象としたことが一因であると考えられます。全体件数から見た割合は、OSSが34%、OSS以外が66%となっています。

2.1.5 製品開発者（ベンダー）の内訳

　図13、図14のグラフは、JVN iPediaに登録済みの製品開発者（ベンダー）に関して、OSSのベンダーの内訳とOSS以外のベンダーの内訳をそれぞれ示したものです。

　OSSベンダーの内訳は、国内ベンダーが75、海外ベンダー（日本法人有り）が36、海外ベンダー（日本法人無し）が829、合計940ベンダーとなっています。OSS以外は、国内ベンダーが136、海外ベンダー（日本法人有り）が124、海外ベンダー（日本法人無し）が510 、合計770ベンダーとなっています。

　OSSに関しては、日本法人の無い海外ベンダーの脆弱性対策情報が数多く登録されています。OSSを利用する場合、製品のバージョンアップやセキュリティパッチの適用などのノウハウを持たない製品利用者は、製品のサポートサービスの活用、保守契約上の取り決め等の考慮が必要です。

2.2 脆弱性対策情報の活用状況

　表2は2012年第1四半期（1月〜3月）にアクセスの多かったJVN iPediaの脆弱性対策情報を、アクセス数の多い順に上位20件まで示しています。

　表3は国内の製品開発者から収集した脆弱性対策情報のアクセス数上位5件を示しています。

表2. JVN iPediaの脆弱性対策情報のアクセス数上位20件
[2012年1月〜2012年3月]

#	ID	タイトル	アクセス 数	CVSS 基本値	公開日
1	JVNDB-2012-001195	Horde IMP および Horde Groupware Webmail Edition におけるクロスサイトスクリプティングの脆弱性	10,215	4.3	2012/1/27
2	JVNDB-2012-001197	Horde Groupware Webmail Edition におけるクロスサイトスクリプティングの脆弱性	10,123	4.3	2012/1/27
3	JVNDB-2012-001003	Apache Tomcat におけるサービス運用妨害 (CPU 資源の消費) の脆弱性	2,106	5.0	2012/1/6
4	JVNDB-2012-001810	Android用 NetFront Life Browser アプリケーションにおける詳細不明な脆弱性	2,020	10.0	2012/3/19
5	JVNDB-2011-002305	SSL と TLS の CBC モードに選択平文攻撃の脆弱性	1,503	4.3	2011/10/4
6	JVNDB-2012-000014	複数のクックパッド製 Android アプリケーションにおける WebView クラスに関する脆弱性	1,500	2.6	2012/2/22
7	JVNDB-2011-002172	Apache HTTPD サーバにサービス運用妨害 (DoS) の脆弱性	1,281	7.8	2011/9/1
8	JVNDB-2011-003565	PHP におけるサービス運用妨害 (CPU 資源の消費) の脆弱性	1,272	5.0	2012/1/4
9	JVNDB-2012-000024	twicca におけるアクセス制限不備の脆弱性	1,188	2.6	2012/3/13
10	JVNDB-2011-000110	WordPress 日本語版におけるクロスサイトスクリプティングの脆弱性	1,188	4.3	2011/12/26
11	JVNDB-2011-003563	Ruby におけるサービス運用妨害 (CPU 資源の消費) の脆弱性	1,141	7.8	2012/1/4
12	JVNDB-2012-001258	Apache HTTP Server の protocol.c における HTTPOnly cookies の値を取得される脆弱性	1,112	4.3	2012/2/1
13	JVNDB-2011-000109	WordPress において任意の PHP コードが実行可能な脆弱性	1,049	6.5	2011/12/26
14	JVNDB-2011-003560	Microsoft .NET Framework におけるサービス運用妨害 (CPU 資源の消費) の脆弱性	1,022	7.8	2012/1/4
15	JVNDB-2012-000025	Redmine におけるクロスサイトスクリプティングの脆弱性	916	4.0	2012/3/13
16	JVNDB-2012-000012	Apache Struts 2 における任意の Java メソッド実行の脆弱性	903	6.8	2012/2/10
17	JVNDB-2012-001323	PHP の php_variables.c 内のphp_register_variable_ex 関数における任意のコードを実行される脆弱性	886	7.5	2012/2/8
18	JVNDB-2012-001355	複数の DNS ネームサーバの実装に問題	858	5.0	2012/2/10
19	JVNDB-2012-000007	Oracle WebLogic Server におけるクロスサイトスクリプティングの脆弱性	851	2.6	2012/1/20
20	JVNDB-2012-001018	OpenSSL におけるメモリ二重開放の脆弱性	805	9.3	2012/1/10

表3. 国内の製品開発者から収集した脆弱性対策情報のアクセス数上位5件
[2012年1月〜2012年3月]

#	ID	タイトル	アクセス 数	CVSS 基本値	公開日
1	JVNDB-2011-003295	JP1/Cm2/Network Node Manager i におけるサービス運用妨害 (DoS) の脆弱性	197	7.8	2011/12/9
2	JVNDB-2008-001647	Jasmine の WebLink テンプレート実行時における複数の脆弱性	161	7.5	2008/9/10
3	JVNDB-2008-001150	JP1/秘文の暗号化/復号機能および持ち出し制御機能における正しく動作が行われない問題	129	3.6	2008/3/14
4	JVNDB-2010-002807	Accela BizSearch の標準検索画面におけるクロスサイトスクリプティングの脆弱性	117	4.3	2011/5/26
5	JVNDB-2011-001927	HiRDB Control Manager - Agent における任意のコマンドを実行される脆弱性	117	10.0	2011/7/26

注1）CVSS基本値の深刻度による色分け

CVSS基本値=0.0〜3.9 深刻度=レベルI（注意）

CVSS基本値=4.0〜6.9 深刻度=レベルII（警告）

CVSS基本値=7.0〜10.0 深刻度=レベルIII（危険）

注2）公開日の年による色分け

2010年以前の公開

2011年の公開

2012年の公開

脚注

資料のダウンロード

参考情報

本件に関するお問い合わせ先