HOME情報セキュリティ情報セキュリティ対策脆弱性対策脆弱性対策情報データベースJVN iPediaの登録状況[2012年第2四半期(4月~6月)]

本文を印刷する

情報セキュリティ

脆弱性対策情報データベースJVN iPediaの登録状況[2012年第2四半期(4月~6月)]

掲載日 2012年7月20日
独立行政法人情報処理推進機構
>> ENGLISH

1. 2012年 第2四半期 脆弱性対策情報データベース JVN iPediaの登録状況(総括)

 脆弱性対策情報データベース「JVN iPedia(http://jvndb.jvn.jp/)」は、国内外で使用されているソフトウェアの脆弱性対策情報を収集・公開することにより、脆弱性関連情報を容易に利用可能とすることを目指しています。1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情報ポータルサイトJVN(*1)で公表した脆弱性対策情報、3)米国国立標準技術研究所NIST(*2)の脆弱性データベース「NVD(*3)」が公開した脆弱性対策情報の中から情報を収集、翻訳し、2007年4月25日から公開しています。

1.1 脆弱性対策情報の登録状況

~脆弱性対策情報の登録件数が累計22,000件を突破~

 2012年第2四半期(2012年4月1日から6月30日まで)にJVN iPedia日本語版へ登録した脆弱性対策情報は、国内製品開発者から収集したもの1件(公開開始からの累計は133件)、JVNから収集したもの273件(累計2,008件)、NVDから収集したもの6,766件(累計20,793件)、合計7,040件(累計22,934件)となりました。脆弱性対策情報の登録件数が、累計22,000件を超過しました(表1、図1)。

 JVN iPedia英語版は、国内製品開発者から収集したものが2件(累計133件)、JVNから収集したものが33件(累計654件)、合計35件(累計787件)でした。

表1.2012年第2四半期の登録件数
  情報の収集元 登録件数 累計件数
日本語版 国内製品開発者 1 133
JVN 273 2,008
NVD 6,766 20,793
7,040 22,934
英語版 国内製品開発者 2 133
JVN 33 654
35 787

図1. JVN iPediaの登録件数の四半期別推移

 IPAでは、システム管理者が脆弱性対策に活用できるように、JVN iPediaに登録されている脆弱性対策情報の拡充を図っています。前四半期と同様に、JVN iPediaに未反映であった6,000件の過去にNVDにて公開されたデータを登録したことから、登録件数が大幅に増加しました。

 対象製品を拡大したことにより、システム管理者が、より幅広い脆弱性対策情報を取得できるようになります。

 IPAでは、今後も国内の脆弱性対策情報の公開とは別に、NVDの情報を翻訳・公開する予定です。それにより、脆弱性対策情報の累積件数は、2012年中に35,000件に達する見込みです。

1.2 最近のJVN iPediaの登録状況

脆弱性対策情報の網羅性と即時性を向上

 昨年までのJVN iPediaでは、日本で広く使われている製品の脆弱性対策情報を登録してきました。昨今、国内で利用されている製品が多種多様に変化していることから、2011年第4四半期より、米国NVDから日々公開される脆弱性対策情報の全てをJVN iPediaに登録し、網羅性の向上を図っており、より幅広い製品の状況把握を可能とするよう努めています。また、NVDによる脆弱性対策情報の公開後、原則一両日のうち(翌就業日まで)に日本語に翻訳して登録する運用とし、即時性の向上も図っています。

 図2はNVDとJVN iPediaの月別の登録(公開)件数の推移を示しています。2011年11月より、JVN iPediaはNVDの公開数に並び、その後はほぼ同水準の公開件数となっています。

図2. NVDとJVN iPediaの月別登録件数の推移

 表2は、2012年上半期のJVN iPediaの公開状況です。上半期の123就業日のうち、NVDの公開を確認後、JVN iPediaで当日中に公開した日は92日となっており、全体の約3分の2以上に至りました。

表2.2012年上半期JVN iPediaの公開状況(123就業日)
公開状況 日(パーセント)
NVD確認後、当日中に公開 92(74.8%)
NVD確認後、翌日中に公開 29(23.6%)
NVD確認後、翌々日中に公開 2(1.6%)

 JVN iPediaは、ブラウザやMyJVN APIを通じて多種多様な製品の脆弱性対策情報を日本語で参照でき、またRSSリーダなどのツールを用いて新着の脆弱性対策情報を日本語で受け取ることができます。これにより、利用中の製品に対して、速やかな脆弱性対策の実施や注意喚起を行うことを可能とします。

1.3 登録している脆弱性対策情報に関する注目情報(その1)

JREの脆弱性対策情報が多数登録

 2012年第1四半期に公開されたJRE(*4)の脆弱性を利用したマルウェアが感染を広げています。これはWindowsだけでなくMacもターゲットとしており、全世界で60万台を超えるMacが感染したと報告されています。両OSをターゲットとしたマルウェアが猛威を奮っており、今後もより一層JREの脆弱性には注意する必要があります。

 図3は、JVN iPedia におけるJREとJava SE(*5)の脆弱性対策情報の登録件数と深刻度(*6)の割合を示しており、2008年以降は、年50件以上のペースで登録されています。深刻度別の件数を集計するとレベルIII(危険、CVSS基本値=7.0~10.0)が58%、レベルII(警告、CVSS基本値=4.0~6.9)が38%、レベルI(注意、CVSS基本値=0.0~3.9)が4%となっており、深刻度の高い脆弱性対策情報が多く登録されています。2012年は、登録件数が27件、深刻度レベルIIIの割合が59%となっており、昨年までの傾向が続いています。引き続き新しく公開される脆弱性対策情報に対して注意する必要があります。

図3. JREの脆弱性対策情報の年別推移と深刻度別割合

 2010年以降、セキュリティアップデートは、およそ年6回のペースで不定期に実施されており、利用者は、時機を逸しないセキュリティパッチの適用が重要です。

 IPAでは、この対策として「ソフトウェアの自動更新」の利用(*7)および、ソフトウェアのバージョン情報の簡易な手順でのチェックを可能とした「MyJVNバージョンチェッカ(*8)」の利用を推奨しています。

1.4 登録している脆弱性対策情報に関する注目情報(その2)

スマートフォン上で稼働するAndroidアプリの脆弱性が急増。速やかなバージョンアップを

 近年、スマートフォンの利用者数は急激に増加しており、企業や個人によるスマートフォン用アプリケーション(以降、「アプリ」と略す。)の開発も活発になっています。ここ数年、スマートフォン市場におけるAndroidのシェアが増加しているのに伴い、JVN iPediaへのAndroidアプリの脆弱性の登録件数が増加しています。図4は、スマートフォン上で稼働するソフトウェア(OSやアプリ)のプラットフォーム別のJVN iPediaへの登録件数の年別推移を表したもので、Android系ソフトウェア(OSとアプリ)の登録件数増加が顕著に表されています。また、図5は、図4からAndroid OSとAndroidアプリだけを抽出した登録件数の年別推移です。昨年までは13件でしたが、2012年上半期には67件の登録がありました。これは、Androidの普及によるアプリ数の拡大のほか、国内外の脆弱性研究者によるAndroidアプリに対する調査の活発化が一因であろうと推測しています。

図4. スマートフォン上で稼働するソフトウェアのOS別脆弱性対策情報登録件数の年別推移

図5. Android OS系ソフトウェアの製品区分別脆弱性対策情報登録件数の年別推移

 図6はGoogle Play(*9)によるカテゴリをもとにAndroidアプリの深刻度の割合を集計したものです。ブラウザやメールなどの通信アプリ、コミュニケーションを目的としたソーシャルネットワーキングアプリが46件登録されており、全体(80件)の58%を占めています。これらのカテゴリのアプリは基本的に個人情報を取り扱うため、利用者は脆弱性を含んだバージョンを使い続けていることにより、メッセージ内容、通信履歴、連絡先などの情報が漏えいする危険性があることを認識する必要があります。

 脆弱性が存在する古いバージョンのアプリを利用している場合は、速やかにアップデートが必要です。また、アプリの開発者の積極的な脆弱性対策実施を望みます。

図6. Androidアプリのカテゴリ別深刻度割合

2. 2012年 第2四半期 脆弱性対策情報データベース JVN iPediaの登録状況(詳細)

2.1 脆弱性対策情報の登録状況

2.1.1 2012年第2四半期に登録した脆弱性の種類別件数

 図7のグラフは、JVN iPediaへ2012年第2四半期に登録した脆弱性対策情報を、CWEのタイプ別に分類した件数を示したものです。

 件数が多い脆弱性は、CWE-89(SQLインジェクション)が951件、CWE-79(クロスサイト・スクリプティング)が741件、CWE-119(バッファエラー)が563件、CWE-264(認可・権限・アクセス制御の問題)が400件、CWE-22(パス・トラバーサル)が345件、CWE-20(不適切な入力確認)が344件、などとなっています。

 これらは広く認知されている脆弱性の種類です。製品開発者は、これらの脆弱性に関してソフトウェアの企画・設計段階から、セキュリティ対策を講じる必要があります。なお、IPAでは、参考資料として「セキュア・プログラミング講座(*10)」、実習形式による脆弱性体験学習ツール「AppGoat(*11))」を公開し、セキュアなプログラム開発の促進に努めています。

図7. 2012年第2四半期に登録した脆弱性の種類別件数

2.1.2 脆弱性に関する年別の深刻度別割合

 図8のグラフはJVN iPediaに登録済みの脆弱性対策情報について、脆弱性の深刻度別の件数の公表年別推移を示したものです。

 2012年6月30日までにJVN iPediaに登録済みの脆弱性対策情報の深刻度別割合は、レベルIII(危険、CVSS基本値=7.0~10.0)が46%、レベルII(警告、CVSS基本値=4.0~6.9)が47%、レベルI(注意、CVSS基本値=0.0~3.9)が7%となっています。

 深刻度の高い脆弱性が多数登録されていることから、製品利用者は情報を日々収集し、製品のバージョンアップやセキュリティ対策パッチの適用などを速やかに行うことが重要です。

図8. 脆弱性に関する年別の深刻度別割合

2.1.3 脆弱性対策情報を公表した製品の種類別件数

 図9のグラフはJVN iPediaに登録済みの脆弱性対策情報について、その製品の種類別件数の公表年別推移を示したものです。2011年第4四半期から、NVDから日々公開される全ての脆弱性対策情報を登録対象としたこともあり、アプリケーションの脆弱性対策情報の登録が増加しています。2010年の2,939件に対し、2011年には3,636件と1.2倍の件数となり、2012年も同じ傾向になっています。

 2008年頃からは、重要インフラなどで利用される、産業用制御システムの脆弱性対策情報が登録されています。2008年分として8件、2009年分は10件、2010年分は21件、2011年分は72 件、2012年分は99件、合計224件の産業用制御システムに関する脆弱性対策情報を登録しています。

 毎年、数多くのアプリケーションが新しく開発され、それらにおいて脆弱性が発見されており、アプリケーションのセキュリティ対策は重要度を増しています。製品利用者は脆弱性対策情報を日々収集し、バージョンアップやセキュリティ対策パッチの適用などを速やかに行うことが重要です。

図9. 脆弱性対策情報を公表した製品の種類別件数の公開年別推移

2.1.4 オープンソースソフトウェアの割合

 図10のグラフはJVN iPediaに登録済みの脆弱性対策情報について、オープンソースソフトウェア(OSS)とOSS以外のソフトウェアの公表年別推移を示したものです。OSSの割合の年別推移を見ると、近年では2008年以降のOSSの割合が減少傾向となっていましたが、2011年には、NVDから日々公開される全ての脆弱性対策情報を登録対象としたことも一因となって、1,470件のOSSに関する情報を登録しています。その結果、2011年のOSSの割合は、2010年の32%から35%に増加しました。全体件数から見た割合は、OSSが36%、OSS以外が64%となっています。

図10. オープンソースソフトウェア(OSS)とOSS以外の公開年別推移

2.1.5 製品開発者(ベンダー)の内訳

 図11、図12のグラフは、JVN iPediaに登録済みの製品開発者(ベンダー)に関して、OSSのベンダーの内訳とOSS以外のベンダーの内訳をそれぞれ示したものです。

 OSSベンダーの内訳は、国内ベンダーが79、海外ベンダー(日本法人有り)が49、海外ベンダー(日本法人無し)が1,938、合計2,066ベンダーとなっています。OSS以外は、国内ベンダーが150、海外ベンダー(日本法人有り)が162、海外ベンダー(日本法人無し)が1,762、合計2,074ベンダーとなっています。

 OSSに関しては、日本法人の無い海外ベンダーの脆弱性対策情報が数多く登録されています。OSSを利用する場合、製品のバージョンアップやセキュリティパッチの適用などのノウハウを持たない製品利用者は、製品のサポートサービスの活用、保守契約上の取り決め等の考慮が必要です。

(左)図11. OSSのベンダーの内訳、(右)図12. OSS以外のベンダーの内訳

2.2 脆弱性対策情報の活用状況

 表3は2012年第2四半期(4月~6月)にアクセスの多かったJVN iPediaの脆弱性対策情報を、アクセス数の多い順に上位20件まで示しています。

 表4は国内の製品開発者から収集した脆弱性対策情報のアクセス数上位5件を示しています。

表3. JVN iPediaの脆弱性対策情報のアクセス数上位20件
[2012年4月~2012年6月]
# ID タイトル アクセス
CVSS
基本値
公開日
1 JVNDB-2012-000037 spモードメールアプリにおける SSL サーバ証明書の検証不備の脆弱性 3,483 4.0 2012/4/26
2 JVNDB-2012-000054 魔法少女まどか☆マギカ iP for Android における情報漏えいの脆弱性 1,886 2.6 2012/6/1
3 JVNDB-2012-001258 Apache HTTP Server の protocol.c における HTTPOnly cookies の値を取得される脆弱性 1,340 4.3 2012/2/1
4 JVNDB-2012-000030 せん茶SNS におけるセッション固定の脆弱性 1,303 5.8 2012/4/5
5 JVNDB-2012-000032 どこでもリクナビ2013 におけるクロスサイトスクリプティングの脆弱性 1,288 5.8 2012/4/13
6 JVNDB-2011-002305 SSL と TLS の CBC モードに選択平文攻撃の脆弱性 1,287 4.3 2011/10/4
7 JVNDB-2012-001979 VMware ESXi および ESX におけるゲスト OS の権限を取得される脆弱性 1,172 8.3 2012/4/4
8 JVNDB-2012-000051 LAN-W300N/R シリーズにおけるアクセス制限不備の脆弱性 1,165 7.5 2012/5/25
9 JVNDB-2011-005032 Samba の RPC コードジェネレータにおける任意のコードを実行される脆弱性 1,158 10.0 2012/4/12
10 JVNDB-2012-000028 東芝テック製 e-Studio シリーズにおける認証回避の脆弱性 1,092 6.4 2012/4/5
11 JVNDB-2012-000035 複数のジャストシステム製品におけるバッファオーバーフローの脆弱性 1,086 6.8 2012/4/24
12 JVNDB-2012-000029 せん茶SNS におけるクロスサイトリクエストフォージェリの脆弱性 1,069 2.6 2012/4/5
13 JVNDB-2012-000044 iLunascape for Android における WebView クラスに関する脆弱性 1,053 2.6 2012/5/21
14 JVNDB-2012-002099 OpenSSL の asn1_d2i_read_bio 関数におけるバッファオーバーフロー攻撃を誘発される脆弱性 1,009 7.5 2012/4/23
15 JVNDB-2012-002126 OpenSSL の crypto/buffer/buffer.c における整数符号エラーの脆弱性 1,004 7.5 2012/4/26
16 JVNDB-2012-002235 PHP-CGI の query string の処理に脆弱性 971 7.5 2012/5/8
17 JVNDB-2012-002234 Oracle データベース TNS リスナーに脆弱性 880 7.5 2012/5/8
18 JVNDB-2012-000025 Redmine におけるクロスサイトスクリプティングの脆弱性 864 4.0 2012/3/13
19 JVNDB-2011-002172 Apache HTTPD サーバにサービス運用妨害 (DoS) の脆弱性 838 7.8 2011/9/1
20 JVNDB-2012-000049 Opera における SSL サーバ証明書の検証不備の脆弱性822 4.3 2012/5/25
表4. 国内の製品開発者から収集した脆弱性対策情報のアクセス数上位5件
[2012年4月~2012年6月]
# ID タイトル アクセス
CVSS
基本値
公開日
1 JVNDB-2012-001793 JP1/Cm2/Network Node Manager i におけるサービス運用妨害 (DoS) の脆弱性 530 7.8 2012/3/16
2 JVNDB-2012-001932 富士通 Interstage List Works における拒否型アクセス権の設定が有効にならない脆弱性 520 3.6 2012/3/29
3 JVNDB-2012-002377 日立の Windows 版 COBOL GUIオプションの開発環境における任意のコードを実行される脆弱性 473 10.0 2012/5/14
4 JVNDB-2010-002807 Accela BizSearch の標準検索画面におけるクロスサイトスクリプティングの脆弱性 191 4.3 2011/5/26
5 JVNDB-2008-001150 JP1/秘文の暗号化/復号機能および持ち出し制御機能における正しく動作が行われない問題 172 3.6 2008/3/14

注1)CVSS基本値の深刻度による色分け

CVSS基本値=0.0~3.9
深刻度=レベルI(注意)
CVSS基本値=4.0~6.9
深刻度=レベルII(警告)
CVSS基本値=7.0~10.0
深刻度=レベルIII(危険)

注2)公開日の年による色分け

2010年以前の公開 2011年の公開 2012年の公開

脚注

(*1) Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/

(*2)National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
http://www.nist.gov/

(*3)National Vulnerability Database。NISTが運営する脆弱性データベース。
http://nvd.nist.gov/home.cfm

(*4)Java Runtime Environment(Java 実行環境)。コンピュータシステム上で Java アプリケーションを動かせるようにするソフトウェア群。

(*5)Java Standard Edition。Javaの開発プラットフォームの一つ。

(*6)脆弱性の深刻度評価の新バージョンCVSS v2について。
http://www.ipa.go.jp/security/vuln/SeverityLevel2.html
Common Vulnerability Scoring System、共通脆弱性評価システム。
http://www.ipa.go.jp/security/vuln/CVSS.html

(*7) 「ソフトウェアの自動更新を利用しましょう!」
http://www.ipa.go.jp/security/txt/2012/06outline.html

(*8)MyJVNバージョンチェッカ。
http://jvndb.jvn.jp/apis/myjvn/

(*9)GoogleがAndroid端末向けに配布されているアプリの配布・販売用のサービス名称。アプリは、以下に示された種類にカテゴリ分けされている。
http://support.google.com/googleplay/android-developer/bin/answer.py?hl=ja&answer=113475

(*10)http://www.ipa.go.jp/security/awareness/vendor/programmingv2/index.html

(*11)脆弱性体験学習ツール「AppGoat」。
http://www.ipa.go.jp/security/vuln/appgoat/index.html

資料のダウンロード

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター 渡辺/大森
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。