脆弱性対策情報データベースJVN iPediaの登録状況
[2012年第4四半期(10月〜12月)]
掲載日 2013年1月21日
独立行政法人情報処理推進機構
1. 2012年 第4四半期 脆弱性対策情報データベース JVN iPediaの登録状況(総括)
脆弱性対策情報データベース「JVN iPedia( http://jvndb.jvn.jp/)」は、国内外で使用されているソフトウェアの脆弱性対策情報を収集・公開することにより、脆弱性関連情報を容易に利用可能とすることを目指しています。1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情報ポータルサイトJVN(*1)で公表した脆弱性対策情報、3)米国国立標準技術研究所NIST(*2)の脆弱性データベース「NVD(*3)」が公開した脆弱性対策情報の中から情報を収集、翻訳し、2007年4月25日から公開しています。
1.1 脆弱性対策情報の登録状況
〜脆弱性対策情報の登録件数が累計38,000件を超過〜
2012年第4四半期(2012年10月1日から12月31日まで)にJVN iPedia日本語版へ登録した脆弱性対策情報は、国内製品開発者から収集したもの4件(公開開始からの累計は139件)、JVNから収集したもの98件(累計2,412件)、NVDから収集したもの7,154件(累計35,548件)、合計7,256件(累計38,099件)となりました。脆弱性対策情報の登録件数が、累計38,000件を超過しました(表1、図1)。
JVN iPedia英語版は、国内製品開発者から収集したものが4件(累計139件)、JVNから収集したものが25件(累計707件)、合計29件(累計846件)でした。
| 情報の収集元 | 登録件数 | 累計件数 | |
|---|---|---|---|
| 日本語版 | 国内製品開発者 | 4 件 | 139 件 |
| JVN | 98 件 | 2,412 件 | |
| NVD | 7,154 件 | 35,548 件 | |
| 計 | 7,256 件 | 38,099 件 | |
| 英語版 | 国内製品開発者 | 4 件 | 139 件 |
| JVN | 25 件 | 707 件 | |
| 計 | 29 件 | 846 件 |
IPAでは、システム管理者が脆弱性対策に活用できるように、JVN iPediaに登録されている脆弱性対策情報の拡充を図っています。前四半期と同様に、JVN iPediaに未反映であった6,000件の過去にNVDにて公開されたデータを登録したことから、登録件数が大幅に増加しました。2007年以降にNVDに登録された脆弱性対策情報の全件を日本語に翻訳して、JVN iPediaに登録しています。
対象製品を拡大したことにより、システム管理者への、より幅広い脆弱性対策情報の提供が可能となりました。
1.2 登録している脆弱性対策情報に関する注目情報(その1)
〜PCで広く利用されているソフトウェアの深刻な脆弱性対策情報が多数登録。速やかなバージョンアップを〜
昨今の機密情報や個人情報の窃取を目的としたサイバー攻撃(*4)は、ソフトウェアの脆弱性を悪用し、複数の既存攻撃手法を組合せ、ソーシャルエンジニアリングを用いて特定の組織や個人を狙っており、対応が難しく執拗なものとなっています。
特に、PCで広く利用されている定番ソフトウェアの脆弱性が悪用されています。図2は、PCで広く利用されている定番ソフトウェア8製品の登録件数の年別推移です。年々登録件数は増加しており、2012年は、2011年から65件増加した528件が登録されています。
JVN iPediaでは、共通脆弱性評価システムCVSS(*5)により、それぞれの脆弱性の深刻度(*6)を公開しています。図3は、PCで広く利用されている定番ソフトウェア8製品における深刻度割合を集計したものです。内訳はMozilla Firefoxに関するものが865件、Microsoft Internet Explorerが590件、Adobe 3製品(Reader、Acrobat、Flash Player)が739件です。これらの脆弱性の深刻度別の割合は、レベルIII(危険、CVSS基本値=7.0〜10.0)が63%、レベルII(警告、CVSS基本値=4.0〜6.9)が34%、レベルI(注意、CVSS基本値=0.0〜3.9)が3%となっており、レベルIIIの危険な脆弱性が約2/3を占めています。
深刻度の高い脆弱性が多数登録されています。製品利用者は情報を日々収集し、製品のバージョンアップなどの速やな実施が必要です。
IPAでは、使用しているソフトウェアのバージョンが最新であるか容易に確認できるMyJVNバージョンチェッカ(*7)を公開しています。また、システム管理者向けに複数台のPCを自動的にチェックできるコマンドライン版(*8)の提供も2011年11月から開始しました。
1.3 登録している脆弱性対策情報に関する注目情報(その2)
〜スマートフォン上で稼働するAndroidアプリの脆弱性が急増。速やかなアプリのバージョンアップを〜
近年、スマートフォンの利用者数は急激に増加しており、企業や個人によるスマートフォン用アプリの開発も活発になっています。図4は、スマートフォン上で稼働するソフトウェア(OSやアプリ)のプラットフォーム別のJVN iPediaへの登録件数の年別推移を表したものです。Apple iOS と、Google Androidに関するソフトウェア(OSとアプリ)の登録件数増加が顕著に表れており、Apple iOSに関しては、2012年の259件の登録件数うちWebKit(HTMLレンダリングエンジン)の脆弱性についての情報が7割以上登録されています。
ここ数年、スマートフォン市場におけるAndroidのシェアが増加しているのに伴い、JVN iPediaへのAndroidアプリの脆弱性の登録件数が増加しています。図5は、図4からAndroid OSとAndroidアプリだけを抽出した登録件数の年別推移です。Google Android に関するソフトウェアの登録件数は、2011年末までで18件でしたが、2012年末の時点で102件の脆弱性が登録されています。これは、Androidの普及によるアプリ数の拡大のほか、国内外の脆弱性研究者によるAndroidアプリに対する調査の活発化が一因であろうと推測しています。
図6はGoogle Play(*9)によるカテゴリをもとにAndroidアプリの深刻度の割合を集計したものです。ブラウザやメールなどの通信アプリ、コミュニケーションを目的としたソーシャルネットワーキングアプリが52件登録されており、全体(99件)の53%を占めています。これらのカテゴリのアプリは基本的に個人情報を取り扱うため、利用者は脆弱性を含んだバージョンを使い続けていることにより、メッセージ内容、通信履歴、連絡先などの情報が漏えいする危険性があることを認識する必要があります。
脆弱性が存在する古いバージョンのアプリを利用している場合は、速やかにアップデートが必要です。また、アプリの開発者の積極的な脆弱性対策実施を望みます。
1.4 登録している脆弱性対策情報に関する注目情報(その3)
〜産業用制御システムに関する脆弱性対策情報が2011年以降急激に増加〜
近年、工場の生産設備等で使用される監視モニタ等の産業用制御システム(ICS:Industrial Control Systems)に関するソフトウェアの脆弱性対策情報が急激に増加しています。 図7は、JVN iPedia における産業用制御システムに関するソフトウェアの脆弱性対策情報の、登録件数と深刻度の割合を示しています。2011年の登録件数は88件で、2010年と比較して約4倍に増加しており、2012年も増加の傾向にあります。
図8、図9のグラフは、JVN iPediaに登録済みの脆弱性対策情報に関して、産業用制御システムに関するソフトウェアと全体の深刻度の割合をそれぞれ示したものです。産業用制御システムに関するソフトウェアの深刻度の割合は、レベルIII(危険、CVSS基本値=7.0〜10.0)が63%、レベルII(警告、CVSS基本値=4.0〜6.9)が34%、レベルI(注意、CVSS基本値=0.0〜3.9)が3%となっており、ソフトウェア全体と比較して、深刻度の高い脆弱性対策情報が多く登録されています。
図10は、産業用制御システムに関するソフトウェアの脆弱性対策情報を、CWE(*10)のタイプ別に分類した件数を示したものです。任意コードの実行などの重大な脅威につながるCWE-119(バッファーエラー)の件数の割合が全体の約40%を占めています。
産業用制御システムの利用者には、脆弱性対策情報を定期的に収集し、利用している製品に脆弱性が存在する場合、開発元や販売元にバージョンアップ等の対策方法の有無を確認し、対策が存在する場合は速やかな対応の検討を求めます。直ちに対策することが困難な場合は、産業用制御システムが設置されているネットワーク等の利用環境やリスクを評価し、その改善や対策を図るなどの対応の検討を求めます。(*11)
2. 2012年 第4四半期 脆弱性対策情報データベース JVN iPediaの登録状況(詳細)
2.1 脆弱性対策情報の登録状況
2.1.1 2012年第4四半期に登録した脆弱性の種類別件数
図11のグラフは、JVN iPediaへ2012年第4四半期に登録した脆弱性対策情報を、CWEのタイプ別に分類した件数を示したものです。
件数が多い脆弱性は、CWE-89(SQLインジェクション)が1034件、CWE-79(クロスサイト・スクリプティング)が864件、CWE-119(バッファエラー)が473件、CWE-264(認可・権限・アクセス制御の問題)が422件、CWE-22(パス・トラバーサル)が383件、CWE-94(コード・インジェクション)が361件、などとなっています。
これらは広く認知されている脆弱性の種類です。製品開発者は、これらの脆弱性に関してソフトウェアの企画・設計段階から、セキュリティ対策を講じる必要があります。なお、IPAでは、参考資料として「セキュア・プログラミング講座(*12)」、実習形式による脆弱性体験学習ツール「AppGoat(*13)」を公開し、セキュアなプログラム開発の促進に努めています。
2.1.2 脆弱性に関する年別の深刻度別割合
図12のグラフはJVN iPediaに登録済みの脆弱性対策情報について、脆弱性の深刻度別の件数の公表年別推移を示したものです。
2012年12月31日までにJVN iPediaに登録済みの脆弱性対策情報の深刻度別割合は、レベルIII(危険、CVSS基本値=7.0〜10.0)が45%、レベルII(警告、CVSS基本値=4.0〜6.9)が49%、レベルI(注意、CVSS基本値=0.0〜3.9)が6%となっています。
深刻度の高い脆弱性が多数登録されていることから、製品利用者は情報を日々収集し、製品のバージョンアップやセキュリティ対策パッチの適用などを速やかに行うことが重要です。
2.1.3 脆弱性対策情報を公表した製品の種類別件数
図13のグラフはJVN iPediaに登録済みの脆弱性対策情報について、その製品の種類別件数の公表年別推移を示したものです。2011年第4四半期から、NVDから日々公開される全ての脆弱性対策情報を登録対象としたこともあり、アプリケーションの脆弱性対策情報の登録が増加しています。2007年の5,887件から2011年の3,789件まで、5000件前後のアプリケーションの脆弱性が登録されており、2012年も同じ傾向になっています。
2008年頃からは、重要インフラなどで利用される、産業用制御システムの脆弱性対策情報が登録されています。2008年分として8件、2009年分は10件、2010年分は21件、2011年分は89件、2012年分は162件、合計290件の産業用制御システムに関する脆弱性対策情報を登録しています。
毎年、数多くのアプリケーションが新しく開発され、それらにおいて脆弱性が発見されており、アプリケーションのセキュリティ対策は重要度を増しています。製品利用者は脆弱性対策情報を日々収集し、バージョンアップやセキュリティ対策パッチの適用などを速やかに行うことが重要です。
2.1.4 オープンソースソフトウェアの割合
図14のグラフはJVN iPediaに登録済みの脆弱性対策情報について、オープンソースソフトウェア(OSS)とOSS以外のソフトウェアの公表年別推移を示したものです。OSSの割合の年別推移を見ると、近年では2008年以降のOSSの割合が減少傾向となっていましたが、2011年には、NVDから日々公開される全ての脆弱性対策情報を登録対象としたことも一因となって、1,707件のOSSに関する情報を登録しています。その結果、2012年のOSSの割合は、40%となっています。全体件数から見た割合は、OSSが41%、OSS以外が59%となっています。
2.1.5 製品開発者(ベンダー)の内訳
図15、図16のグラフは、JVN iPediaに登録済みの製品開発者(ベンダー)に関して、OSSのベンダーの内訳とOSS以外のベンダーの内訳をそれぞれ示したものです。
OSSベンダーの内訳は、国内ベンダーが86、海外ベンダー(日本法人有り)が67、海外ベンダー(日本法人無し)が4,054、合計4,207ベンダーとなっています。OSS以外は、国内ベンダーが173、海外ベンダー(日本法人有り)が205、海外ベンダー(日本法人無し)が4,086、合計4,464ベンダーとなっています。
OSSに関しては、日本法人の無い海外ベンダーの脆弱性対策情報が数多く登録されています。OSSを利用する場合、製品のバージョンアップやセキュリティパッチの適用などのノウハウを持たない製品利用者は、製品のサポートサービスの活用、保守契約上の取り決め等の考慮が必要です。
2.2 脆弱性対策情報の活用状況
表2は2012年第4四半期(10月〜12月)にアクセスの多かったJVN iPediaの脆弱性対策情報を、アクセス数の多い順に上位20件まで示しています。
表3は国内の製品開発者から収集した脆弱性対策情報のアクセス数上位5件を示しています。
| # | ID | タイトル | アクセス 数 |
CVSS 基本値 |
公開日 |
|---|---|---|---|---|---|
| 1 | JVNDB-2009-004384 | Jura Internet Connection Kit におけるサービス運用妨害 (DoS) の脆弱性 | 19,113 | 10.0 | 2012/9/25 |
| 2 | JVNDB-2010-004301 | WordPress の xmlrpc.php におけるアクセス制限を回避される脆弱性 | 11,041 | 6.5 | 2012/9/19 |
| 3 | JVNDB-2012-001258 | Apache HTTP Server の protocol.c における HTTPOnly cookies の値を取得される脆弱性 | 1,792 | 4.3 | 2012/2/1 |
| 4 | JVNDB-2012-000094 | Smarty におけるクロスサイトスクリプティングの脆弱性 | 1,786 | 4.3 | 2012/10/10 |
| 5 | JVNDB-2012-000088 | Safari においてリモートからローカルファイルを読み取り可能な脆弱性 | 1,430 | 4.3 | 2012/10/23 |
| 6 | JVNDB-2012-000102 | Android OS を搭載した複数の端末におけるサービス運用妨害 (DoS) の脆弱性 | 1,413 | 5.4 | 2012/11/14 |
| 7 | JVNDB-2011-002305 | SSL と TLS の CBC モードに選択平文攻撃の脆弱性 | 1,044 | 4.3 | 2011/10/4 |
| 8 | JVNDB-2012-000105 | 複数の京セラ製携帯端末におけるメール受信時に再起動する問題 | 1,030 | 7.8 | 2012/11/30 |
| 9 | JVNDB-2011-002172 | Apache HTTPD サーバにサービス運用妨害 (DoS) の脆弱性 | 1,015 | 7.8 | 2011/9/1 |
| 10 | JVNDB-2012-004723 | Linux Kernel の sfc ドライバにおけるサービス運用妨害 (DoS) の脆弱性 | 800 | 7.8 | 2012/10/4 |
| 11 | JVNDB-2012-003247 | WordPress における重要な情報を取得される脆弱性 | 793 | 5.0 | 2012/7/24 |
| 12 | JVNDB-2012-004724 | Linux Kernel の net/rds/recv.c における重要な情報を取得される脆弱性 | 791 | 2.1 | 2012/10/4 |
| 13 | JVNDB-2012-000012 | Apache Struts 2 における任意の Java メソッド実行の脆弱性 | 741 | 6.8 | 2012/2/10 |
| 14 | JVNDB-2012-004866 | ISC BIND におけるサービス運用妨害 (named デーモンハング) の脆弱性 | 718 | 7.8 | 2012/10/12 |
| 15 | JVNDB-2012-000092 | MyWebSearch におけるクロスサイトスクリプティングの脆弱性 | 672 | 4.3 | 2012/10/5 |
| 16 | JVNDB-2009-002319 | SSL および TLS プロトコルに脆弱性 | 668 | 6.4 | 2009/12/14 |
| 17 | JVNDB-2012-000093 | 東京BBS におけるクロスサイトスクリプティングの脆弱性 | 664 | 4.3 | 2012/10/26 |
| 18 | JVNDB-2012-000091 | Android 版 jigbrowser+ における WebView クラスに関する脆弱性 | 643 | 2.6 | 2012/9/28 |
| 19 | JVNDB-2012-000103 | Android 版 Monacaデバッガーにおける情報管理不備の脆弱性 | 640 | 2.6 | 2012/11/16 |
| 20 | JVNDB-2012-004560 | Oracle Database における総当りパスワード推測攻撃を実行される脆弱性 | 622 | 6.4 | 2012/9/25 |
| # | ID | タイトル | アクセス 数 |
CVSS 基本値 |
公開日 |
|---|---|---|---|---|---|
| 1 | JVNDB-2012-005201 | 日立の JP1/File Transmission Server/FTP における複数の脆弱性 | 681 | 9.0 | 2012/11/5 |
| 2 | JVNDB-2012-005486 | JP1/Automatic Job Management System 3 および JP1/Automatic Job Management System 2 におけるサービス運用妨害 (DoS) の脆弱性 | 421 | 5.0 | 2012/11/22 |
| 3 | JVNDB-2012-005485 | Hitachi Device Manager Software 製品におけるサービス運用妨害 (DoS) の脆弱性 | 409 | 5.0 | 2012/11/22 |
| 4 | JVNDB-2012-003525 | 日立の JP1/Integrated Management - Service Support におけるクロスサイトスクリプティングの脆弱性 | 281 | 3.5 | 2012/8/10 |
| 5 | JVNDB-2008-001647 | Jasmine の WebLink テンプレート実行時における複数の脆弱性 | 229 | 7.5 | 2008/9/10 |
注1)CVSS基本値の深刻度による色分け
| CVSS基本値=0.0〜3.9 深刻度=レベルI(注意) |
CVSS基本値=4.0〜6.9 深刻度=レベルII(警告) |
CVSS基本値=7.0〜10.0 深刻度=レベルIII(危険) |
注2)公開日の年による色分け
| 2010年以前の公開 | 2011年の公開 | 2012年の公開 |
脚注
(*1) Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/
(*2)National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
http://www.nist.gov/
(*3)National Vulnerability Database。NISTが運営する脆弱性データベース。
http://nvd.nist.gov/home.cfm
(*4)プレス発表「標的型攻撃メールによるサイバー攻撃に関する注意喚起」も参照。
http://www.ipa.go.jp/about/press/20110929_3.html
(*5)Common Vulnerability Scoring System。共通脆弱性評価システム。
http://www.ipa.go.jp/security/vuln/CVSS.html
脆弱性の基本評価基準の数値を基にI,II,IIIの3段階とし、数値が大きいほど深刻度が高い。
- レベルIII:リモートからシステムを完全に制御されるような場合や大部分の情報が漏えいするような脅威。
- レベルII:一部の情報が漏えいするような場合やサービス停止につながるような脅威。
- レベルI:攻撃する為の条件が複雑な場合や、レベルUに該当するが再現性が低い脅威。
(*6)脆弱性の深刻度評価の新バージョンCVSS v2について。
http://www.ipa.go.jp/security/vuln/SeverityLevel2.html
(*7)MyJVNバージョンチェッカ。
http://jvndb.jvn.jp/apis/myjvn/
(*8)プレス発表「オフライン環境でもチェックが可能となったMyJVN バージョンチェッカ」も参照。
(*9)GoogleがAndroid端末向けに配布されているアプリの配布・販売用のサービス名称。アプリは、以下に示された種類にカテゴリ分けされている。
http://support.google.com/googleplay/android-developer/bin/answer.py?hl=ja&answer=113475
(*10)Common Weakness Enumeration。概要は次を参照ください。
http://www.ipa.go.jp/security/vuln/CWE.html
(*11)制御機器の脆弱性に関する注意喚起
http://www.ipa.go.jp/about/press/20120229.html
(*12)http://www.ipa.go.jp/security/awareness/vendor/programmingv2/index.html
(*13)脆弱性体験学習ツール「AppGoat」。
http://www.ipa.go.jp/security/vuln/appgoat/index.html
資料のダウンロード
(PDFファイル 233KB)参考情報
本件に関するお問い合わせ先
IPA セキュリティセンター 渡辺/大森
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: 