脆弱性対策情報データベースJVN iPediaの登録状況
[2012年第2四半期(4月〜6月)]
掲載日 2012年7月20日
独立行政法人情報処理推進機構
>> ENGLISH
1. 2012年 第2四半期 脆弱性対策情報データベース JVN iPediaの登録状況(総括)
脆弱性対策情報データベース「JVN iPedia(http://jvndb.jvn.jp/)」は、国内外で使用されているソフトウェアの脆弱性対策情報を収集・公開することにより、脆弱性関連情報を容易に利用可能とすることを目指しています。1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情報ポータルサイトJVN(*1)で公表した脆弱性対策情報、3)米国国立標準技術研究所NIST(*2)の脆弱性データベース「NVD(*3)」が公開した脆弱性対策情報の中から情報を収集、翻訳し、2007年4月25日から公開しています。
1.1 脆弱性対策情報の登録状況
〜脆弱性対策情報の登録件数が累計22,000件を突破〜
2012年第2四半期(2012年4月1日から6月30日まで)にJVN iPedia日本語版へ登録した脆弱性対策情報は、国内製品開発者から収集したもの1件(公開開始からの累計は133件)、JVNから収集したもの273件(累計2,008件)、NVDから収集したもの6,766件(累計20,793件)、合計7,040件(累計22,934件)となりました。脆弱性対策情報の登録件数が、累計22,000件を超過しました(表1、図1)。
JVN iPedia英語版は、国内製品開発者から収集したものが2件(累計133件)、JVNから収集したものが33件(累計654件)、合計35件(累計787件)でした。
| 情報の収集元 | 登録件数 | 累計件数 | |
|---|---|---|---|
| 日本語版 | 国内製品開発者 | 1 件 | 133 件 |
| JVN | 273 件 | 2,008 件 | |
| NVD | 6,766 件 | 20,793 件 | |
| 計 | 7,040 件 | 22,934 件 | |
| 英語版 | 国内製品開発者 | 2 件 | 133 件 |
| JVN | 33 件 | 654 件 | |
| 計 | 35 件 | 787 件 |
IPAでは、システム管理者が脆弱性対策に活用できるように、JVN iPediaに登録されている脆弱性対策情報の拡充を図っています。前四半期と同様に、JVN iPediaに未反映であった6,000件の過去にNVDにて公開されたデータを登録したことから、登録件数が大幅に増加しました。
対象製品を拡大したことにより、システム管理者が、より幅広い脆弱性対策情報を取得できるようになります。
IPAでは、今後も国内の脆弱性対策情報の公開とは別に、NVDの情報を翻訳・公開する予定です。それにより、脆弱性対策情報の累積件数は、2012年中に35,000件に達する見込みです。
1.2 最近のJVN iPediaの登録状況
〜脆弱性対策情報の網羅性と即時性を向上〜
昨年までのJVN iPediaでは、日本で広く使われている製品の脆弱性対策情報を登録してきました。昨今、国内で利用されている製品が多種多様に変化していることから、2011年第4四半期より、米国NVDから日々公開される脆弱性対策情報の全てをJVN iPediaに登録し、網羅性の向上を図っており、より幅広い製品の状況把握を可能とするよう努めています。また、NVDによる脆弱性対策情報の公開後、原則一両日のうち(翌就業日まで)に日本語に翻訳して登録する運用とし、即時性の向上も図っています。
図2はNVDとJVN iPediaの月別の登録(公開)件数の推移を示しています。2011年11月より、JVN iPediaはNVDの公開数に並び、その後はほぼ同水準の公開件数となっています。
表2は、2012年上半期のJVN iPediaの公開状況です。上半期の123就業日のうち、NVDの公開を確認後、JVN iPediaで当日中に公開した日は92日となっており、全体の約3分の2以上に至りました。
| 公開状況 | 日(パーセント) |
|---|---|
| NVD確認後、当日中に公開 | 92(74.8%) |
| NVD確認後、翌日中に公開 | 29(23.6%) |
| NVD確認後、翌々日中に公開 | 2(1.6%) |
JVN iPediaは、ブラウザやMyJVN APIを通じて多種多様な製品の脆弱性対策情報を日本語で参照でき、またRSSリーダなどのツールを用いて新着の脆弱性対策情報を日本語で受け取ることができます。これにより、利用中の製品に対して、速やかな脆弱性対策の実施や注意喚起を行うことを可能とします。
1.3 登録している脆弱性対策情報に関する注目情報(その1)
〜JREの脆弱性対策情報が多数登録〜
2012年第1四半期に公開されたJRE(*4)の脆弱性を利用したマルウェアが感染を広げています。これはWindowsだけでなくMacもターゲットとしており、全世界で60万台を超えるMacが感染したと報告されています。両OSをターゲットとしたマルウェアが猛威を奮っており、今後もより一層JREの脆弱性には注意する必要があります。
図3は、JVN iPedia におけるJREとJava SE(*5)の脆弱性対策情報の登録件数と深刻度(*6)の割合を示しており、2008年以降は、年50件以上のペースで登録されています。深刻度別の件数を集計するとレベルIII(危険、CVSS基本値=7.0〜10.0)が58%、レベルII(警告、CVSS基本値=4.0〜6.9)が38%、レベルI(注意、CVSS基本値=0.0〜3.9)が4%となっており、深刻度の高い脆弱性対策情報が多く登録されています。2012年は、登録件数が27件、深刻度レベルIIIの割合が59%となっており、昨年までの傾向が続いています。引き続き新しく公開される脆弱性対策情報に対して注意する必要があります。
2010年以降、セキュリティアップデートは、およそ年6回のペースで不定期に実施されており、利用者は、時機を逸しないセキュリティパッチの適用が重要です。
IPAでは、この対策として「ソフトウェアの自動更新」の利用(*7)および、ソフトウェアのバージョン情報の簡易な手順でのチェックを可能とした「MyJVNバージョンチェッカ(*8)」の利用を推奨しています。
1.4 登録している脆弱性対策情報に関する注目情報(その2)
〜スマートフォン上で稼働するAndroidアプリの脆弱性が急増。速やかなバージョンアップを〜
近年、スマートフォンの利用者数は急激に増加しており、企業や個人によるスマートフォン用アプリケーション(以降、「アプリ」と略す。)の開発も活発になっています。ここ数年、スマートフォン市場におけるAndroidのシェアが増加しているのに伴い、JVN iPediaへのAndroidアプリの脆弱性の登録件数が増加しています。図4は、スマートフォン上で稼働するソフトウェア(OSやアプリ)のプラットフォーム別のJVN iPediaへの登録件数の年別推移を表したもので、Android系ソフトウェア(OSとアプリ)の登録件数増加が顕著に表されています。また、図5は、図4からAndroid OSとAndroidアプリだけを抽出した登録件数の年別推移です。昨年までは13件でしたが、2012年上半期には67件の登録がありました。これは、Androidの普及によるアプリ数の拡大のほか、国内外の脆弱性研究者によるAndroidアプリに対する調査の活発化が一因であろうと推測しています。
図6はGoogle Play(*9)によるカテゴリをもとにAndroidアプリの深刻度の割合を集計したものです。ブラウザやメールなどの通信アプリ、コミュニケーションを目的としたソーシャルネットワーキングアプリが46件登録されており、全体(80件)の58%を占めています。これらのカテゴリのアプリは基本的に個人情報を取り扱うため、利用者は脆弱性を含んだバージョンを使い続けていることにより、メッセージ内容、通信履歴、連絡先などの情報が漏えいする危険性があることを認識する必要があります。
脆弱性が存在する古いバージョンのアプリを利用している場合は、速やかにアップデートが必要です。また、アプリの開発者の積極的な脆弱性対策実施を望みます。
2. 2012年 第2四半期 脆弱性対策情報データベース JVN iPediaの登録状況(詳細)
2.1 脆弱性対策情報の登録状況
2.1.1 2012年第2四半期に登録した脆弱性の種類別件数
図7のグラフは、JVN iPediaへ2012年第2四半期に登録した脆弱性対策情報を、CWEのタイプ別に分類した件数を示したものです。
件数が多い脆弱性は、CWE-89(SQLインジェクション)が951件、CWE-79(クロスサイト・スクリプティング)が741件、CWE-119(バッファエラー)が563件、CWE-264(認可・権限・アクセス制御の問題)が400件、CWE-22(パス・トラバーサル)が345件、CWE-20(不適切な入力確認)が344件、などとなっています。
これらは広く認知されている脆弱性の種類です。製品開発者は、これらの脆弱性に関してソフトウェアの企画・設計段階から、セキュリティ対策を講じる必要があります。なお、IPAでは、参考資料として「セキュア・プログラミング講座(*10)」、実習形式による脆弱性体験学習ツール「AppGoat(*11))」を公開し、セキュアなプログラム開発の促進に努めています。
2.1.2 脆弱性に関する年別の深刻度別割合
図8のグラフはJVN iPediaに登録済みの脆弱性対策情報について、脆弱性の深刻度別の件数の公表年別推移を示したものです。
2012年6月30日までにJVN iPediaに登録済みの脆弱性対策情報の深刻度別割合は、レベルIII(危険、CVSS基本値=7.0〜10.0)が46%、レベルII(警告、CVSS基本値=4.0〜6.9)が47%、レベルI(注意、CVSS基本値=0.0〜3.9)が7%となっています。
深刻度の高い脆弱性が多数登録されていることから、製品利用者は情報を日々収集し、製品のバージョンアップやセキュリティ対策パッチの適用などを速やかに行うことが重要です。
2.1.3 脆弱性対策情報を公表した製品の種類別件数
図9のグラフはJVN iPediaに登録済みの脆弱性対策情報について、その製品の種類別件数の公表年別推移を示したものです。2011年第4四半期から、NVDから日々公開される全ての脆弱性対策情報を登録対象としたこともあり、アプリケーションの脆弱性対策情報の登録が増加しています。2010年の2,939件に対し、2011年には3,636件と1.2倍の件数となり、2012年も同じ傾向になっています。
2008年頃からは、重要インフラなどで利用される、産業用制御システムの脆弱性対策情報が登録されています。2008年分として8件、2009年分は10件、2010年分は21件、2011年分は72 件、2012年分は99件、合計224件の産業用制御システムに関する脆弱性対策情報を登録しています。
毎年、数多くのアプリケーションが新しく開発され、それらにおいて脆弱性が発見されており、アプリケーションのセキュリティ対策は重要度を増しています。製品利用者は脆弱性対策情報を日々収集し、バージョンアップやセキュリティ対策パッチの適用などを速やかに行うことが重要です。
2.1.4 オープンソースソフトウェアの割合
図10のグラフはJVN iPediaに登録済みの脆弱性対策情報について、オープンソースソフトウェア(OSS)とOSS以外のソフトウェアの公表年別推移を示したものです。OSSの割合の年別推移を見ると、近年では2008年以降のOSSの割合が減少傾向となっていましたが、2011年には、NVDから日々公開される全ての脆弱性対策情報を登録対象としたことも一因となって、1,470件のOSSに関する情報を登録しています。その結果、2011年のOSSの割合は、2010年の32%から35%に増加しました。全体件数から見た割合は、OSSが36%、OSS以外が64%となっています。
2.1.5 製品開発者(ベンダー)の内訳
図11、図12のグラフは、JVN iPediaに登録済みの製品開発者(ベンダー)に関して、OSSのベンダーの内訳とOSS以外のベンダーの内訳をそれぞれ示したものです。
OSSベンダーの内訳は、国内ベンダーが79、海外ベンダー(日本法人有り)が49、海外ベンダー(日本法人無し)が1,938、合計2,066ベンダーとなっています。OSS以外は、国内ベンダーが150、海外ベンダー(日本法人有り)が162、海外ベンダー(日本法人無し)が1,762、合計2,074ベンダーとなっています。
OSSに関しては、日本法人の無い海外ベンダーの脆弱性対策情報が数多く登録されています。OSSを利用する場合、製品のバージョンアップやセキュリティパッチの適用などのノウハウを持たない製品利用者は、製品のサポートサービスの活用、保守契約上の取り決め等の考慮が必要です。
2.2 脆弱性対策情報の活用状況
表3は2012年第2四半期(4月〜6月)にアクセスの多かったJVN iPediaの脆弱性対策情報を、アクセス数の多い順に上位20件まで示しています。
表4は国内の製品開発者から収集した脆弱性対策情報のアクセス数上位5件を示しています。
| # | ID | タイトル | アクセス 数 |
CVSS 基本値 |
公開日 |
|---|---|---|---|---|---|
| 1 | JVNDB-2012-000037 | spモードメールアプリにおける SSL サーバ証明書の検証不備の脆弱性 | 3,483 | 4.0 | 2012/4/26 |
| 2 | JVNDB-2012-000054 | 魔法少女まどか☆マギカ iP for Android における情報漏えいの脆弱性 | 1,886 | 2.6 | 2012/6/1 |
| 3 | JVNDB-2012-001258 | Apache HTTP Server の protocol.c における HTTPOnly cookies の値を取得される脆弱性 | 1,340 | 4.3 | 2012/2/1 |
| 4 | JVNDB-2012-000030 | せん茶SNS におけるセッション固定の脆弱性 | 1,303 | 5.8 | 2012/4/5 |
| 5 | JVNDB-2012-000032 | どこでもリクナビ2013 におけるクロスサイトスクリプティングの脆弱性 | 1,288 | 5.8 | 2012/4/13 |
| 6 | JVNDB-2011-002305 | SSL と TLS の CBC モードに選択平文攻撃の脆弱性 | 1,287 | 4.3 | 2011/10/4 |
| 7 | JVNDB-2012-001979 | VMware ESXi および ESX におけるゲスト OS の権限を取得される脆弱性 | 1,172 | 8.3 | 2012/4/4 |
| 8 | JVNDB-2012-000051 | LAN-W300N/R シリーズにおけるアクセス制限不備の脆弱性 | 1,165 | 7.5 | 2012/5/25 |
| 9 | JVNDB-2011-005032 | Samba の RPC コードジェネレータにおける任意のコードを実行される脆弱性 | 1,158 | 10.0 | 2012/4/12 |
| 10 | JVNDB-2012-000028 | 東芝テック製 e-Studio シリーズにおける認証回避の脆弱性 | 1,092 | 6.4 | 2012/4/5 |
| 11 | JVNDB-2012-000035 | 複数のジャストシステム製品におけるバッファオーバーフローの脆弱性 | 1,086 | 6.8 | 2012/4/24 |
| 12 | JVNDB-2012-000029 | せん茶SNS におけるクロスサイトリクエストフォージェリの脆弱性 | 1,069 | 2.6 | 2012/4/5 |
| 13 | JVNDB-2012-000044 | iLunascape for Android における WebView クラスに関する脆弱性 | 1,053 | 2.6 | 2012/5/21 |
| 14 | JVNDB-2012-002099 | OpenSSL の asn1_d2i_read_bio 関数におけるバッファオーバーフロー攻撃を誘発される脆弱性 | 1,009 | 7.5 | 2012/4/23 |
| 15 | JVNDB-2012-002126 | OpenSSL の crypto/buffer/buffer.c における整数符号エラーの脆弱性 | 1,004 | 7.5 | 2012/4/26 |
| 16 | JVNDB-2012-002235 | PHP-CGI の query string の処理に脆弱性 | 971 | 7.5 | 2012/5/8 |
| 17 | JVNDB-2012-002234 | Oracle データベース TNS リスナーに脆弱性 | 880 | 7.5 | 2012/5/8 |
| 18 | JVNDB-2012-000025 | Redmine におけるクロスサイトスクリプティングの脆弱性 | 864 | 4.0 | 2012/3/13 |
| 19 | JVNDB-2011-002172 | Apache HTTPD サーバにサービス運用妨害 (DoS) の脆弱性 | 838 | 7.8 | 2011/9/1 |
| 20 | JVNDB-2012-000049 | Opera における SSL サーバ証明書の検証不備の脆弱性 | 822 | 4.3 | 2012/5/25 |
| # | ID | タイトル | アクセス 数 |
CVSS 基本値 |
公開日 |
|---|---|---|---|---|---|
| 1 | JVNDB-2012-001793 | JP1/Cm2/Network Node Manager i におけるサービス運用妨害 (DoS) の脆弱性 | 530 | 7.8 | 2012/3/16 |
| 2 | JVNDB-2012-001932 | 富士通 Interstage List Works における拒否型アクセス権の設定が有効にならない脆弱性 | 520 | 3.6 | 2012/3/29 |
| 3 | JVNDB-2012-002377 | 日立の Windows 版 COBOL GUIオプションの開発環境における任意のコードを実行される脆弱性 | 473 | 10.0 | 2012/5/14 |
| 4 | JVNDB-2010-002807 | Accela BizSearch の標準検索画面におけるクロスサイトスクリプティングの脆弱性 | 191 | 4.3 | 2011/5/26 |
| 5 | JVNDB-2008-001150 | JP1/秘文の暗号化/復号機能および持ち出し制御機能における正しく動作が行われない問題 | 172 | 3.6 | 2008/3/14 |
注1)CVSS基本値の深刻度による色分け
| CVSS基本値=0.0〜3.9 深刻度=レベルI(注意) |
CVSS基本値=4.0〜6.9 深刻度=レベルII(警告) |
CVSS基本値=7.0〜10.0 深刻度=レベルIII(危険) |
注2)公開日の年による色分け
| 2010年以前の公開 | 2011年の公開 | 2012年の公開 |
脚注
(*1) Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/
(*2)National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
http://www.nist.gov/
(*3)National Vulnerability Database。NISTが運営する脆弱性データベース。
http://nvd.nist.gov/home.cfm
(*4)Java Runtime Environment(Java 実行環境)。コンピュータシステム上で Java アプリケーションを動かせるようにするソフトウェア群。
(*5)Java Standard Edition。Javaの開発プラットフォームの一つ。
(*6)脆弱性の深刻度評価の新バージョンCVSS v2について。
http://www.ipa.go.jp/security/vuln/SeverityLevel2.html
Common Vulnerability Scoring System、共通脆弱性評価システム。
http://www.ipa.go.jp/security/vuln/CVSS.html
(*7) 「ソフトウェアの自動更新を利用しましょう!」
http://www.ipa.go.jp/security/txt/2012/06outline.html
(*8)MyJVNバージョンチェッカ。
http://jvndb.jvn.jp/apis/myjvn/
(*9)GoogleがAndroid端末向けに配布されているアプリの配布・販売用のサービス名称。アプリは、以下に示された種類にカテゴリ分けされている。
http://support.google.com/googleplay/android-developer/bin/answer.py?hl=ja&answer=113475
(*10)http://www.ipa.go.jp/security/awareness/vendor/programmingv2/index.html
(*11)脆弱性体験学習ツール「AppGoat」。
http://www.ipa.go.jp/security/vuln/appgoat/index.html
資料のダウンロード
参考情報
本件に関するお問い合わせ先
IPA セキュリティセンター 渡辺/大森
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: 