HOME情報セキュリティ脆弱性対策情報脆弱性対策情報データベースJVN iPediaの登録状況 [2013年第3四半期(7月~9月)]

本文を印刷する

情報セキュリティ

脆弱性対策情報データベースJVN iPediaの登録状況 [2013年第3四半期(7月~9月)]

独立行政法人情報処理推進機構
最終更新日:2013年10月18日

1. 2013年 第3四半期 脆弱性対策情報データベース JVN iPediaの登録状況

 脆弱性対策情報データベース「JVN iPedia( http://jvndb.jvn.jp/)」は、システム管理者が幅広いソフトウェア製品に関する脆弱性対策情報を日本語で取得し、迅速に脆弱性対策に活かせるよう、1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情報ポータルサイトJVN(*1)で公表した脆弱性対策情報、3)米国国立標準技術研究所NIST(*2)の脆弱性データベース「NVD(*3)」が公開したソフトウェアの脆弱性対策情報を集約、翻訳し、2007年4月25日から公開しています。

1.1 脆弱性対策情報の登録状況

~脆弱性対策情報の登録件数が累計41,000件を超過~

 2013年第3四半期(2013年7月1日から9月30日まで)にJVN iPedia日本語版へ登録した脆弱性対策情報は下表の通りとなり、脆弱性対策情報の登録件数が、累計41,000件を超過しました(表1-1、図1-1)。

 JVN iPedia英語版へ登録した脆弱性対策情報も下表の通りとなっており、累計で949件になっています。

表1-1.2013年第3四半期の登録件数
  情報の収集元 登録件数 累計件数
日本語版 国内製品開発者 2 149
JVN 130 2,755
NVD 1,148 38,912
1,280 41,816
英語版 国内製品開発者 2 149
JVN 26 800
28 949

図1-1. JVN iPediaの登録件数の四半期別推移

1.2 【注目情報1】 ウェブサイトの改ざんに悪用されているソフトウェアについて

~CMSに関する脆弱性対策情報の登録は全体の約96%、1,669件に~

 今年に入りウェブサイト改ざんの被害が急増しています。IPAでも2013年9月に注意喚起(*4)を発信し利用者に注意を促しています。ウェブサイトが改ざんされる要因の1つに、脆弱性を含んだ古いバージョンのソフトウェアを利用している為に、攻撃者に脆弱性が悪用されることが挙げられます。

 攻撃に悪用されやすいソフトウェアには、Apache StrutsParallels Plesk Panelといったウェブアプリケーションフレームワーク(*5)やミドルウェア(*6)WordPressDrupalJoomla!といったCMS(Contents Management System(*7))などが存在しており、脆弱性対策情報も多数公開されています。

 図1-2-1は、上記の攻撃に悪用されやすいソフトウェアに関するJVN iPediaでの登録状況です。その数は累計1,879件に上り、2013年は9月末時点で155件が登録されています。ソフトウェア別の件数の推移に着目すると、Joomla!は2010年をピークに最近では登録件数が減少している一方、今年度は登録のほとんどがWordPressDrupalに集中しています。

図1-2-1. 昨今悪用が多発しているソフトウェア等の脆弱性の登録件数の年別推移

 図1-2-2は、前述の図1-2-1のソフトウェアについてCVSS(*8)による深刻度別件数を集計したものです。これらの脆弱性の深刻度別件数は、レベルIII(危険)が688件、レベルII(警告)が981件、レベルI(注意)が210件といった件数になっており、サービス停止など、深刻度が「レベルII(警告)」以上のものが全1,879件中1,669件(約89%)を占めています。特にWordPressDrupalJoomla!Movable TypeXOOPSといったCMSに関する脆弱性対策情報は全1,879件中1,807件(約96%)となっています。また、もっとも深刻度の高いレベルIIIの脆弱性は1,807件中660件(約36%)となっています。

図1-2-2. 昨今悪用が多発しているソフトウェア等の脆弱性の深刻度別件数

 JVN iPediaには、ウェブ改ざんに悪用されたソフトウェアをはじめとして、深刻度の高い脆弱性が多数登録されています。製品利用者は情報を日々収集し、製品のバージョンアップなどを速やかに行ってください。

1.3 【注目情報2】 重要なシステムにおけるソフトウェアの脆弱性について

~米国の放送局で実際に発生した緊急警報システムにおける脆弱性の悪用事例について~

 2013年2月に米モンタナ州の放送局が利用していた緊急警報システムが、「ゾンビ出現」という緊急警報を流してしまう事件が発生しました。事件が発生した原因は、警報を受信後、チェックするシステム「DASDEC」にあった脆弱性が攻撃者に悪用されたことが判明しています。なお、この脆弱性に関する情報は、JVN iPediaでも公開しています(表1-2)。

表1-2. ソフトウェア「DASDEC」に関する脆弱性の登録内容
ID(JVNDB) タイトル CVSS
(基本値)
JVNDB-2013-003170 Digital Alert Systems DASDEC EAS および Monroe Electronics R189 One-Net EAS における root アクセス権を取得される脆弱性 10.0
JVNDB-2013-003171 Digital Alert Systems DASDEC EAS および Monroe Electronics R189 One-Net EAS における重要な情報を取得される脆弱性 7.8
JVNDB-2013-003172 Digital Alert Systems DASDEC EAS および Monroe Electronics R189 One-Net EAS における非管理者アクセス権を取得される脆弱性 7.5
JVNDB-2013-003173 Digital Alert Systems DASDEC EAS および Monroe Electronics R189 One-Net EAS におけるアクセス権を取得される脆弱性 10.0

 今回の事件では、幸いにも大きな混乱は発生しませんでしたが、最悪の場合、緊急警報システムが悪用され、社会生活に大きな混乱を招く可能性もありました。これまでの攻撃は、その対象が主に情報系でしたが、産業系や組込み系など、情報系とは異なる分野のソフトウェアやシステムにも波及してきています。中でも、工場の生産設備等で使用される監視モニタ等の産業用制御システム(ICS:Industrial Control Systems)の脆弱性関連情報の公開が2011年以降増えています。図1-3-1は、JVN iPedia における産業用制御システムに関するソフトウェアの脆弱性対策情報の深刻度を示しており、2013年9月末時点までの累計は413件になっています。2013年については深刻度の高いレベルIIIの脆弱性が108件の登録のうち66件と61%を占めており、前年までと同様、高い傾向にあります。

図1-3-1. 産業用制御システムに関するソフトウェアの脆弱性の深刻度別件数

 JVN iPediaでは、PCやサーバで広く利用されているOS、文書作成ソフト、ウェブサーバソフト、といった情報系のソフトウェアだけでなく、社会インフラなどで利用される重要なシステムのソフトウェアの脆弱性対策情報も多数公開しています。

2. JVN iPediaの登録データ分類

2.1 脆弱性の種類別件数

 図2-1のグラフは、JVN iPediaへ2013年第3四半期に登録した脆弱性対策情報を、共通脆弱性タイプ一覧CWE(*9)のタイプ別に分類し、集計した件数を示したものです。

 件数は多い順に、CWE-119(バッファエラー)が217件、CWE-79(クロスサイト・スクリプティング)が187件、CWE-264(認可・権限・アクセス制御の問題)が130件、CWE-20(不適切な入力確認)が115件、CWE-399(リソース管理の問題)が58件、CWE-94(コード・インジェクション)が54件、などとなっています。

 これらは広く認知されているタイプの脆弱性です。製品開発者は、ソフトウェアの企画・設計段階から、セキュリティ対策を講じ、これら脆弱性の低減に努めることが求められます。なお、IPAでは、セキュアなプログラム開発の一助となるよう参考資料として「セキュア・プログラミング講座(*10)」、実習形式による脆弱性体験学習ツール「AppGoat(*11)を公開しています。

図2-1. 2013年第3四半期に登録した脆弱性の種類別件数

2.2 脆弱性に関する深刻度別割合

 図2-2のグラフはJVN iPediaに登録済みの脆弱性対策情報の件数を脆弱性の深刻度別に分類し、公表年別にその推移を示したものです。

 脆弱性対策情報の公開開始から2013年9月30日までにJVN iPediaに登録された脆弱性対策情報の深刻度は、レベルIII(危険、CVSS基本値=7.0~10.0)が44%、レベルII(警告、CVSS基本値=4.0~6.9)が49%、レベルI(注意、CVSS基本値=0.0~3.9)が7%となっています。

 これら既知の脆弱性の深刻度は全体の93%がレベルII以上となっています。既知の脆弱性による脅威を回避するため、製品利用者は製品のバージョンアップやセキュリティ対策パッチの適用などを速やかに行ってください。

図2-2. 脆弱性の深刻度別件数

2.3 脆弱性対策情報を公表した製品の種類別件数

 図2-3のグラフはJVN iPediaに登録済みの脆弱性対策情報について、ソフトウェア製品の種類別件数の年次推移を示したものです。製品の種類別でみるとアプリケーションに関する脆弱性対策情報が全件のうちの86%を占めており、最も多く公表されています。

 また2008年頃以降、重要インフラなどで利用される、産業用制御システムに関する脆弱性対策情報が登録されるようになり、2008年8件、2009年10件、2010年21件、2011年93 件、2012年173件、2013年は9月30日時点で108件、その累計件数は413件となっており、2011年以降増えています。

図2-3. 脆弱性対策情報を公表した製品の種類別件数の公開年別推移

2.4 オープンソースソフトウェアの割合

 図2-4のグラフはJVN iPediaに登録済みの脆弱性対策情報のうち、オープンソースソフトウェア(OSS)とOSS以外のソフトウェアの公表年別推移を示したものです。累計ではOSS が16,670件の登録があります。2007年以降、OSS以外の登録件数がそれ以前と比べて多くなっているのは、NVDに登録された脆弱性対策情報の全てをJVN iPediaの登録対象にしたことが要因です。それぞれの割合は、OSSが40%、OSS以外が60%となっています。

図2-4. オープンソースソフトウェア(OSS)とOSS以外の公開年別推移

2.5 登録された製品の開発元(ベンダー)の内訳

 図2-5-1、図2-5-2のグラフは、脆弱性対策情報の公開開始から2013年9月30日までにJVN iPediaに登録された製品の開発元(ベンダー)を分類したものです。OSSベンダーとOSS以外のベンダーを国内ベンダー、海外ベンダー(日本法人有り)、海外ベンダー(日本法人無し)でそれぞれ示しています。

 最も割合が多いのは日本法人の無いベンダーの製品です。OSSベンダーは96.3%、OSS以外は、91.4%となっており、日本法人の無い海外ベンダーの製品の脆弱性対策情報が数多く登録されていることがわかります。

 OSS製品は、無償で利用可能な製品が多い、といった手軽さがある反面、安全に使用するためのサポートがベンダーなどから十分に得られない可能性があります。セキュリティパッチの適用などのノウハウを持たない利用者は特にOSS製品の利用を慎重に検討する必要があります。

(左)図2-5-1. OSSのベンダーの内訳、(右)図2-5-2. OSS以外のベンダーの内訳

3. 脆弱性対策情報の活用状況

 表3-1は2013年第3四半期(7月~9月)にアクセスの多かったJVN iPediaの脆弱性対策情報の、上位20件を示したものです。

 表3-2は国内の製品開発者から収集した脆弱性対策情報でアクセスの多かった上位5件を示しています。

表3-1. JVN iPediaの脆弱性対策情報のアクセス 上位20件
[2013年7月~2013年9月]
# ID タイトル CVSS
基本値
公開日
1 JVNDB-2013-003253 Android における任意のコードを実行される脆弱性 9.3 2013/7/11
2 JVNDB-2013-000085 VMware ESX および ESXi におけるバッファオーバーフローの脆弱性 7.5 2013/9/6
3 JVNDB-2012-000051 LAN-W300N/R シリーズにおけるアクセス制限不備の脆弱性 7.5 2012/5/25
4 JVNDB-2012-001258 Apache HTTP Server の protocol.c における HTTPOnly Cookie の値を取得される脆弱性 4.3 2012/2/1
5 JVNDB-2013-003469 Apache Struts において任意のコマンドを実行される脆弱性 7.5 2013/7/23
6 JVNDB-2013-000084 VMware ESX および ESXi におけるディレクトリトラバーサルの脆弱性 6.4 2013/9/6
7 JVNDB-2013-000076 JP1/IT Desktop Management - Manager および Hitachi IT Operations Director における権限昇格の脆弱性 5.5 2013/7/29
8 JVNDB-2013-000070 Oracle Outside In におけるバッファオーバーフローの脆弱性 7.5 2013/7/17
9 JVNDB-2013-000072 JBoss RichFaces において任意のコードが実行される脆弱性 6.8 2013/7/19
10 JVNDB-2013-000087 複数のブロードバンドルータがオープンリゾルバとして機能してしまう問題 5.0 2013/9/19
11 JVNDB-2013-002948 Apache HTTP Server の mod_rewrite モジュールにおける任意のコマンドを実行される脆弱性 5.1 2013/6/12
12 JVNDB-2013-003349 PHP の ext/xml/xml.c におけるサービス運用妨害 (DoS) の脆弱性 6.8 2013/7/16
13 JVNDB-2012-002110 WordPress におけるクロスサイトスクリプティングの脆弱性 4.3 2012/4/24
14 JVNDB-2013-003320 Apache HTTP Server の mod_dav.c におけるサービス運用妨害 (DoS) の脆弱性 4.3 2013/7/12
15 JVNDB-2013-000069 サイボウズ Office におけるセッション管理不備の脆弱性 4.0 2013/7/16
16 JVNDB-2013-000075 ドコモ海外利用アプリにおける接続処理に関する脆弱性 3.3 2013/8/7
17 JVNDB-2011-001638 Apache Portable Runtime ライブラリなどの製品で使用される apr_fnmatch.c および fnmatch.c におけるサービス運用妨害 (CPU とメモリ消費) の脆弱性 4.3 2011/5/27
18 JVNDB-2013-003441 Apache Struts における任意の OGNL コードを実行される脆弱性 9.3 2013/7/19
19 JVNDB-2013-000062 EC-CUBE におけるコードインジェクションの脆弱性 7.5 2013/6/27
20 JVNDB-2013-000068 AQUOSフォトプレーヤー HN-PP150 におけるサービス運用妨害 (DoS) の脆弱性 5.0 2013/7/11
表3-2. 国内の製品開発者から収集した脆弱性対策情報のアクセス 上位5件
[2013年7月~2013年9月]
# ID タイトル CVSS
基本値
公開日
1 JVNDB-2013-003073 JP1/秘文 Advanced Edition Information Cypher における秘文フォーマットされたリムーバブルメディアを参照される脆弱性 1.2 2013/6/19
2 JVNDB-2013-003074 Hitachi Command Suite 製品におけるクロスサイトスクリプティングの脆弱性 4.3 2013/6/19
3 JVNDB-2013-002796 JP1/Integrated Management - TELstaff Alarm View における任意のコマンドを実行される脆弱性 10.0 2013/5/24
4 JVNDB-2013-002770 JP1/Automatic Operation におけるクロスサイトスクリプティングの脆弱性 4.3 2013/5/21
5 JVNDB-2013-002427 Hitachi IT Operations Director におけるバッファオーバーフローの脆弱性 10.0 2013/4/23

注1)CVSS基本値の深刻度による色分け

CVSS基本値=0.0~3.9
深刻度=レベルI(注意)
CVSS基本値=4.0~6.9
深刻度=レベルII(警告)
CVSS基本値=7.0~10.0
深刻度=レベルIII(危険)

注2)公開日の年による色分け

2011年以前の公開 2012年の公開 2013年の公開

脚注

(*1)Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/

(*2)National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
http://www.nist.gov/

(*3)National Vulnerability Database。NISTが運営する脆弱性データベース。
http://nvd.nist.gov/home.cfm

(*4)http://www.ipa.go.jp/security/topics/alert20130906.html (2013年9月6日付の注意喚起)

(*5)ウェブアプリケーションの骨組みを提供し開発を助けてくれる仕組みのこと

(*6)オペレーティングシステム(OS)とアプリケーションソフトの中間的な処理や動作を行うソフトウェアのこと

(*7)Contents Management System、ウェブサイトを簡易に構築・管理するためのソフトウェアの総称。

(*8)Common Vulnerability Scoring System、共通脆弱性評価システム。
http://www.ipa.go.jp/security/vuln/CVSS.html
脆弱性の基本評価基準の数値を基にI,II,IIIの3段階とし、数値が大きいほど深刻度が高い。

  • レベルIII:リモートからシステムを完全に制御されるような場合や大部分の情報が漏えいするような脅威。
  • レベルII:一部の情報が漏えいするような場合やサービス停止につながるような脅威。
  • レベルI:攻撃する為の条件が複雑な場合や、レベルIIに該当するが再現性が低い脅威。

(*9)Common Weakness Enumeration、共通脆弱性タイプ一覧。
http://www.ipa.go.jp/security/vuln/CWE.html

(*10)http://www.ipa.go.jp/security/awareness/vendor/programmingv2/index.html

(*11)脆弱性体験学習ツール「AppGoat」。
http://www.ipa.go.jp/security/vuln/appgoat/index.html

資料のダウンロード

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター 渡辺/大森
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: