HOME情報セキュリティ脆弱性対策情報脆弱性対策情報データベースJVN iPediaの登録状況 [2013年第2四半期(4月~6月)]

本文を印刷する

情報セキュリティ

脆弱性対策情報データベースJVN iPediaの登録状況 [2013年第2四半期(4月~6月)]

独立行政法人情報処理推進機構
最終更新日:2013年7月19日

1. 2013年 第2四半期 脆弱性対策情報データベース JVN iPediaの登録状況

 脆弱性対策情報データベース「JVN iPedia( http://jvndb.jvn.jp/)」は、国内外で使用されているソフトウェアの脆弱性対策情報を収集・公開することにより、脆弱性関連情報を容易に利用可能とすることを目指しています。1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情報ポータルサイトJVN(*1)で公表した脆弱性対策情報、3)米国国立標準技術研究所NIST(*2)の脆弱性データベース「NVD(*3)」が公開した脆弱性対策情報の中から情報を収集、翻訳し、2007年4月25日から公開しています。

1.1 脆弱性対策情報の登録状況

~脆弱性対策情報の登録件数が累計40,000件を超過~

 2013年第2四半期(2013年4月1日から6月30日まで)にJVN iPedia日本語版へ登録した脆弱性対策情報は、国内製品開発者から収集したもの5件(公開開始からの累計は147件)、JVNから収集したもの128件(累計2,625件)、NVDから収集したもの1,067件(累計37,764件)、合計1,200件(累計40,536件)となりました。脆弱性対策情報の登録件数が、累計40,000件を超過しました(表1-1、図1-1)。

 JVN iPedia英語版は、国内製品開発者から収集したものが5件(累計147件)、JVNから収集したものが37件(累計774件)、合計42件(累計921件)でした。

表1-1.2013年第2四半期の登録件数
  情報の収集元 登録件数 累計件数
日本語版 国内製品開発者 5 147
JVN 128 2,625
NVD 1,067 37,764
1,200 40,536
英語版 国内製品開発者 5 147
JVN 37 774
42 921

図1-1. JVN iPediaの登録件数の四半期別推移

 IPAでは、システム管理者が幅広いソフトウェア製品に関する脆弱性対策情報を日本語で取得し、脆弱性対策に活用できるよう、2007年以降にNVDに登録された脆弱性対策情報の全件を日本語に翻訳し、JVN iPediaに登録しています。

1.2 【注目情報1】 ウェブサイトの改ざんに悪用されているソフトウェアについて

~CMS(Contents Management System)の脆弱性が原因でウェブサイトが改ざんされるケースも~

 企業や公共機関が運営しているウェブサイトが改ざんされる被害が継続的に発生しています。IPAでは「2013年6月の呼びかけ」(*4)において、「ウェブサイトが改ざんされないように対策を! 」というテーマで利用者に注意を促しています。

 図1-2-1は、「2013年6月の呼びかけ」で脆弱性を悪用されたソフトウェアの事例として記載されたソフトウェアの脆弱性対策情報の登録状況です。Joomla!WordPressといったCMS(Contents Management System(*5))をはじめとして、Apache StrutsParallels Plesk Panel、またParallels Plesk Panelに付随してインストールされることの多いMySQLBINDphpMyAdmin といったソフトウェアの脆弱性は、2007年以降毎年200件前後が公開されています。また、2013年は6月末時点で101件となっています。

図1-2-1. 脆弱性を悪用されたソフトウェアの脆弱性対策情報の登録件数の年別推移

 JVN iPediaでは、共通脆弱性評価システムCVSS(*6)により、それぞれの脆弱性の深刻度(*7)を公開しています。図1-2-2は、前述の図1-2-1のソフトウェアについて深刻度割合を集計したものです。これらの脆弱性の深刻度別の割合は、レベルIII(危険、CVSS基本値=7.0~10.0)が43%、レベルII(警告、CVSS基本値=4.0~6.9)が52%、レベルI(注意、CVSS基本値=0.0~3.9)が5%となっています。レベルII警告以上の深刻度の割合が9割を超過する状況は前四半期同様です。特にJoomla!については、724件の内、462件(64%)がレベルIIIとなっており、他のソフトウェアと比べて、深刻度の高い脆弱性が多く登録されています。

図1-2-2. 脆弱性を悪用されたソフトウェアの脆弱性対策情報の深刻度別割合

 JVN iPediaには、ウェブ改ざんに悪用されたCMSをはじめとして、実際に悪用されたソフトウェアの深刻度の高い脆弱性が多数登録されています。製品利用者は情報を日々収集し、製品のバージョンアップなどを速やかに行ってください。

1.3 【注目情報2】 サポートが終了するソフトウェアの脆弱性対策について

~Microsoft Windows XPのサポートが2014年4月9日で終了予定~

 2014年4月9日でベンダーによるサポートが終了するMicrosoft Windows XPは、民間企業の調査資料(*8)によると、2013年3月末時点でインターネットにアクセスする際のPCの約3割がMicrosoft Windows XPであるとされています。

 図1-3は、JVN iPediaに登録されているMicrosoft Windows XPのソフトウェアの脆弱性対策情報を深刻度別に集計したものです。その割合は、レベルIII(危険、CVSS基本値=7.0~10.0)が71%、レベルII(警告、CVSS基本値=4.0~6.9)が26%、レベルI(注意、CVSS基本値=0.0~3.9)が3%となっています。既知の脆弱性の97%がレベルII以上であり、攻撃に用いられた場合には重要なサービスを停止させられる、といった問題が発生する可能性が高くなります。

図1-3. Microsoft Windows XP 脆弱性対策情報の年別の深刻度割合

 ベンダーがサポートを終了したソフトウェアについては、脆弱性対策のパッチが提供されない可能性が高いため、可能なかぎり早期に、無償のものを含め、サポート対応が可能な製品への切り替えを検討してください。

2. JVN iPediaの登録データ分類

2.1 脆弱性の種類別件数

 図2-1のグラフは、JVN iPediaへ2013年第2四半期に登録した脆弱性対策情報を、共通脆弱性タイプ一覧CWE(*9)のタイプ別をもとに分類した件数を示したものです。

 件数は多い順に、CWE-119(バッファエラー)が194件、CWE-79(クロスサイト・スクリプティング)が130件、CWE-264(認可・権限・アクセス制御の問題)が114件、CWE-20(不適切な入力確認)が96件、CWE-399(リソース管理の問題)が82件、CWE-200(情報漏えい)が55件、などとなっています。

 これらは広く認知されているタイプの脆弱性です。製品開発者は、ソフトウェアの企画・設計段階から、セキュリティ対策を講じ、これら脆弱性の低減に努める必要があります。なお、IPAでは、セキュアなプログラム開発の一助となるよう参考資料として「セキュア・プログラミング講座(*10)」、実習形式による脆弱性体験学習ツール「AppGoat(*11)を公開しています。

図2-1. 2013年第2四半期に登録した脆弱性の種類別件数

2.2 脆弱性に関する深刻度別割合

 図2-2のグラフはJVN iPediaに登録済みの脆弱性対策情報の件数を脆弱性の深刻度別に分類し、公表年別にその推移を示したものです。

 脆弱性対策情報の公開開始から2013年6月30日までにJVN iPediaに登録された脆弱性対策情報の深刻度別割合は、レベルIII(危険、CVSS基本値=7.0~10.0)が45%、レベルII(警告、CVSS基本値=4.0~6.9)が49%、レベルI(注意、CVSS基本値=0.0~3.9)が6%となっています。

 これら既知の脆弱性の深刻度は全体の94%がレベル2以上となっています。既知の脆弱性による脅威を回避するため、製品利用者は製品のバージョンアップやセキュリティ対策パッチの適用などを速やかに行ってください。

図2-2. 脆弱性に関する年別の深刻度別割合

2.3 脆弱性対策情報を公表した製品の種類別件数

 図2-3のグラフはJVN iPediaに登録済みの脆弱性対策情報について、そのソフトウェア製品の種類別に公表年別の件数を示したものです。製品の種類別でみるとアプリケーションに関する脆弱性対策情報が全件のうちの87%を占めており、最も多く公表されています。

 また2008年頃以降、重要インフラなどで利用される、産業用制御システムに関する脆弱性対策情報が登録されるようになり、今四半期までの累計件数は388件になっています。2013年は6月30日時点で83件が公表されています。

 製品利用者はバージョンアップやセキュリティ対策パッチの適用などを速やかに行うことが重要です。

図2-3. 脆弱性対策情報を公表した製品の種類別件数の公開年別推移

2.4 オープンソースソフトウェアの割合

 図2-4のグラフはJVN iPediaに登録済みの脆弱性対策情報について、オープンソースソフトウェア(OSS)とOSS以外のソフトウェアの公表年別推移を示したものです。累計で16,284件のOSSに関する情報の登録があります。これは2007年以降にNVDに登録された脆弱性対策情報の全てをJVN iPediaの登録対象としたことが一因です。全体件数から見た割合は、OSSが40%、OSS以外が60%となっています。

図2-4. オープンソースソフトウェア(OSS)とOSS以外の公開年別推移

2.5 登録された製品の開発元(ベンダー)の内訳

 図2-5-1、図2-5-2のグラフは、脆弱性対策情報の公開開始から2013年6月30日までにJVN iPediaに登録された製品の開発元(ベンダー)を分類したものです。OSSベンダーとOSS以外のベンダーを国内ベンダー、海外ベンダー(日本法人有り)、海外ベンダー(日本法人無し)でそれぞれ示しています。

 最も割合が多いのは日本法人の無いベンダーの製品です。OSSベンダーでは96.4%、OSS以外では、91.3%となっており、日本法人の無い海外ベンダーの製品の脆弱性対策情報が数多く登録されていることがわかります。

 OSS製品の利用は手軽である反面、安全に使用するためのサポートがベンダーなどから十分に得られない可能性があります。セキュリティパッチの適用などのノウハウを持たない利用者は特にOSS製品の利用を慎重に検討する必要があります。

(左)図2-5-1. OSSのベンダーの内訳、(右)図2-5-2. OSS以外のベンダーの内訳

3. 脆弱性対策情報の活用状況

 表3-1は2013年第2四半期(4月~6月)にアクセスの多かったJVN iPediaの脆弱性対策情報の、上位20件を示したものです。

 表3-2は国内の製品開発者から収集した脆弱性対策情報のアクセス数上位5件を示しています。

表3-1. JVN iPediaの脆弱性対策情報のアクセス数上位20件
[2013年4月~2013年6月]
# ID タイトル CVSS
基本値
公開日
1 JVNDB-2007-003445 Thomas R. Pasawicz HyperBook Guestbook におけるパスワードハッシュをダウンロードされる脆弱性 5.0 2012/9/25
2 JVNDB-2013-000016 Kingsoft Writer におけるバッファオーバーフローの脆弱性 6.8 2013/3/1
3 JVNDB-2013-000053 Internet Explorer における情報漏えいの脆弱性 2.6 2013/6/7
4 JVNDB-2012-000012 Apache Struts 2 における任意の Java メソッド実行の脆弱性 6.8 2012/2/10
5 JVNDB-2013-000058 一太郎シリーズにおいて任意のコードが実行される脆弱性 9.3 2013/6/18
6 JVNDB-2012-001258 Apache HTTP Server の protocol.c における HTTPOnly Cookie の値を取得される脆弱性 4.3 2012/2/1
7 JVNDB-2013-000031 Active! mail における情報漏えいの脆弱性 2.1 2013/4/4
8 JVNDB-2013-002656 Linux Kernel の kernel/events/core.c における権限を取得される脆弱性 7.2 2013/5/15
9 JVNDB-2013-000034 複数のサイボウズ製品におけるクロスサイトリクエストフォージェリの脆弱性 2.6 2013/4/15
10 JVNDB-2013-000025 Android 版 OpenWnn におけるアクセス制限不備の脆弱性 2.6 2013/3/29
11 JVNDB-2013-000037 Yahoo!ブラウザーにおけるアドレスバー偽装の脆弱性 4.3 2013/4/26
12 JVNDB-2013-001695 Apache HTTP Server におけるクロスサイトスクリプティングの脆弱性 4.3 2013/2/27
13 JVNDB-2013-002950 HP System Management Homepage に OS コマンドインジェクションの脆弱性 9.0 2013/6/13
14 JVNDB-2013-001912 Perl のハッシュ値の再計算メカニズムにおけるサービス運用妨害 (DoS) の脆弱性 7.5 2013/3/21
15 JVNDB-2013-000043 EC-CUBE におけるアクセス制限不備の脆弱性 6.4 2013/5/23
16 JVNDB-2013-002545 Internet Explorer 8 に任意のコードが実行される脆弱性 9.3 2013/5/7
17 JVNDB-2009-000013 PEAK XOOPS 製 piCal におけるクロスサイトスクリプティングの脆弱性 4.3 2009/2/25
18 JVNDB-2013-000033 Sleipnir Mobile for Android において任意のエクステンション API が呼び出される脆弱性 4.0 2013/4/12
19 JVNDB-2013-000032 Sleipnir for Windows におけるアドレスバー偽装の脆弱性 4.3 2013/4/11
20 JVNDB-2013-000029 Simeji におけるアクセス制限不備の脆弱性 2.6 2013/3/26
表3-2. 国内の製品開発者から収集した脆弱性対策情報のアクセス数上位5件
[2013年4月~2013年6月]
# ID タイトル CVSS
基本値
公開日
1 JVNDB-2013-001605 Hitachi Tuning Manager および JP1/Performance Management における複数の脆弱性 9.0 2013/2/20
2 JVNDB-2013-001321 日立 Cosminexus の運用管理機能におけるユーザ認証の脆弱性 6.8 2013/1/31
3 JVNDB-2013-001470 Accela BizSearch におけるユーザになりすまされる脆弱性 6.8 2013/2/13
4 JVNDB-2012-005827 複数の日立製品に含まれる Collaboration - Bulletin board におけるクロスサイトスクリプティングの脆弱性 4.3 2012/12/28
5 JVNDB-2008-001313 JP1/Cm2/Network Node Manager におけるサービス運用妨害 (DoS) の脆弱性 5.0 2008/5/9

注1)CVSS基本値の深刻度による色分け

CVSS基本値=0.0~3.9
深刻度=レベルI(注意)
CVSS基本値=4.0~6.9
深刻度=レベルII(警告)
CVSS基本値=7.0~10.0
深刻度=レベルIII(危険)

注2)公開日の年による色分け

2011年以前の公開 2012年の公開 2013年の公開

脚注

(*1)Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/

(*2)National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
http://www.nist.gov/

(*3)National Vulnerability Database。NISTが運営する脆弱性データベース。
http://nvd.nist.gov/home.cfm

(*4) 「毎月の呼びかけ」。IPAが毎月公開をしているセキュリティ関連の情報のこと。
2013年6月は、「ウェブサイトが改ざんされないように対策を!」を公開。
http://www.ipa.go.jp/security/txt/2013/06outline.html

(*5)Contents Management System、ウェブサイトを簡易に構築・管理するためのソフトウェアの総称。

(*6)Common Vulnerability Scoring System、共通脆弱性評価システム。
http://www.ipa.go.jp/security/vuln/CVSS.html
脆弱性の基本評価基準の数値を基にI,II,IIIの3段階とし、数値が大きいほど深刻度が高い。

  • レベルIII:リモートからシステムを完全に制御されるような場合や大部分の情報が漏えいするような脅威。
  • レベルII:一部の情報が漏えいするような場合やサービス停止につながるような脅威。
  • レベルI:攻撃する為の条件が複雑な場合や、レベル2に該当するが再現性が低い脅威。

(*7)脆弱性の深刻度評価の新バージョンCVSS v2について。
http://www.ipa.go.jp/security/vuln/SeverityLevel2.html

(*8)株式会社ジャストシステム「モバイル&ソーシャルメディア月次定点調査」
https://www.fast-ask.com/report/report-monthly-20130410.html

(*9)Common Weakness Enumeration、共通脆弱性タイプ一覧。
http://www.ipa.go.jp/security/vuln/CWE.html

(*10)http://www.ipa.go.jp/security/awareness/vendor/programmingv2/index.html

(*11)脆弱性体験学習ツール「AppGoat」。
http://www.ipa.go.jp/security/vuln/appgoat/index.html

資料のダウンロード

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター 渡辺/大森
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: