HOME情報セキュリティ脆弱性対策情報脆弱性対策情報データベースJVN iPediaの登録状況 [2013年第4四半期(10月~12月)]

本文を印刷する

情報セキュリティ

脆弱性対策情報データベースJVN iPediaの登録状況 [2013年第4四半期(10月~12月)]

独立行政法人情報処理推進機構
最終更新日:2014年1月21日

1. 2013年 第4四半期 脆弱性対策情報データベース JVN iPediaの登録状況

 脆弱性対策情報データベース「JVN iPedia( http://jvndb.jvn.jp/)」は、システム管理者が幅広いソフトウェア製品に関する脆弱性対策情報を日本語で取得し、迅速に脆弱性対策に活かせるよう、1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情報ポータルサイトJVN(*1)で公表した脆弱性対策情報、3)米国国立標準技術研究所NIST(*2)の脆弱性データベース「NVD(*3)」が公開したソフトウェアの脆弱性対策情報を集約、翻訳し、2007年4月25日から公開しています。

1.1 脆弱性対策情報の登録状況

~脆弱性対策情報の登録件数が累計43,000件を超過~

 2013年第4四半期(2013年10月1日から12月31日まで)にJVN iPedia日本語版へ登録した脆弱性対策情報は下表の通りとなり、脆弱性対策情報の登録件数が、累計43,000件を超過しました(表1-1、図1-1)。

 JVN iPedia英語版へ登録した脆弱性対策情報も下表の通りとなっており、累計で987件になっています。

表1-1.2013年第4四半期の登録件数
  情報の収集元 登録件数 累計件数
日本語版 国内製品開発者 4 153
JVN 116 2,871
NVD 1,435 40,347
1,555 43,371
英語版 国内製品開発者 4 153
JVN 34 834
38 987

図1-1. JVN iPediaの登録件数の四半期別推移

1-2 【注目情報1】 Androidに関する脆弱性のうち71%がAndroidアプリ

 近年、スマートフォンが急激に普及しており、企業や個人によるスマートフォン用アプリの開発も活発になっています。中でもここ数年、スマートフォン市場におけるAndroidのシェアが増加しており、結果としてJVN iPediaへのAndroid関連の脆弱性の登録件数も増加しています。

 図1-2-1は、JVN iPedia に登録をしているAndroid 関連の脆弱性をOSとアプリの製品区分で分類したものです。累計187件の内、133件がAndroidアプリに関する情報となっており、71%をAndroidアプリが占めています。

図1-2-1. Android関連の脆弱性の製品区分別割合

 図1-2-2はJVNiPedia に登録のあったAndroidアプリの脆弱性133件をGoogle社のGoogle Play(*4)によるカテゴリ(26種類)から6種に分類し、それを脆弱性の深刻度割合(CVSS(*5))別に集計したものです。ブラウザやメールなどの通信アプリ、コミュニケーションを目的としたソーシャルネットワークのアプリが前述の133件のうち79件登録されており、全体の59%を占めています。これら通信等のアプリの利用者が脆弱性を含んだバージョンを使い続けると、メッセージ内容、通信履歴、連絡先などの情報が漏えいする可能性があることを認識する必要があります。

図1-2-2. Androidアプリのカテゴリ別深刻度割合

 図1-2-3は、Androidアプリに関する脆弱性対策情報を、CWE(*6)のタイプ別に分類し、登録が多い順に示したものです。アプリが管理する重要な情報が読まれたり改ざんされるなど、CWE-264(認可・権限・アクセス制御)が32件と圧倒的に多く、次いでCWE-200(情報漏えい)が9件と、重要な情報を狙うタイプの脆弱性の登録が多いことがグラフから見てとれます。

図1-2-3. Androidアプリに関する脆弱性の種類別件数

 Androidに限らず、重要な個人情報を保有するスマートフォンなどのデバイスは、脆弱性を悪用されないようPCと同様に迅速な対策の実施が必要です。アプリの利用者は、脆弱性が存在する古いバージョンを利用していた場合、速やかなアップデートを実施してください。また、アプリの開発者は、脆弱性を作りこまない安全なアプリ開発を積極的に行う必要があります。

1-3 【注目情報2】産業用制御システムの脆弱性のうち「レベル3(危険)」は全体の6割超

~他の脆弱性と比べて深刻度の高い脆弱性の割合が多いのが特徴~

 近年、工場の生産設備等で使用される監視モニタ等の産業用制御システム(ICS:Industrial Control Systems)に関するソフトウェアの脆弱性対策情報の登録が多い状況で、2013年も131件が登録されました。図1-3-1は、JVN iPedia における産業用制御システムに関するソフトウェアの脆弱性対策情報の登録件数とCVSSの分類による深刻度の割合を示しており、今四半期までの登録累計は437件になっています。2013年も深刻度の高いレベルIIIの脆弱性が131件の登録のうち80件と6割超を占めています。

図1-3-1. 産業用制御システムに関するソフトウェアの脆弱性の深刻度別件数

 図1-3-2、図1-3-3のグラフは、JVN iPediaに登録済みの脆弱性対策情報に関して、産業用制御システムに関するソフトウェアと全ての脆弱性対策情報の深刻度の割合をそれぞれ示したものです。産業用制御システムに関するソフトウェアの深刻度の割合は、レベルIII(危険、CVSS基本値=7.0~10.0)が61%、レベルII(警告、CVSS基本値=4.0~6.9)が37%、レベルI(注意、CVSS基本値=0.0~3.9)が2%となっており、ソフトウェア全体と比較すると深刻度の高い脆弱性対策情報の登録が極めて多いことがわかります。

(左)図1-3-2. 深刻度の割合(産業用制御システム) (右)図1-3-3. 深刻度の割合(全体)

 図1-3-4は、産業用制御システムに関するソフトウェアの脆弱性対策情報を、CWEのタイプ別に分類した件数を示したものです。任意コードの実行などの重大な脅威につながるCWE-119(バッファエラー)の件数が122件となっており、全体の3割を占めています。

図1-3-4. 産業用制御システムを構成するソフトウェアの脆弱性の種類別件数

 産業用制御システムの管理者は、脆弱性対策情報を定期的に収集し利用製品に脆弱性が存在する場合、開発元や販売元にバージョンアップ等の対策方法の有無を確認し、対策が存在する場合は速やかな対応を検討してください。直ちに対策することが困難な場合は、産業用制御システムが設置されているネットワーク等の利用環境やリスクを評価し、リスクの低減策や脅威の緩和策を図るなどの対応を検討してください。(*7)

2. JVN iPediaの登録データ分類

2.1 脆弱性の種類別件数

 図2-1のグラフは、JVN iPediaへ2013年第4四半期に登録した脆弱性対策情報を、共通脆弱性タイプ一覧CWEのタイプ別に分類し、集計した件数を示したものです。

 件数は多い順に、CWE-264(認可・権限・アクセス制御)が192件、CWE-119(バッファエラー)が182件、CWE-20(不適切な入力確認)が174件、CWE-79(クロスサイト・スクリプティング)が169件、となっています。

 製品開発者は、ソフトウェアの企画・設計段階から、セキュリティ対策を講じ、これら脆弱性の低減に努めることが求められます。なお、IPAでは、セキュアなプログラム開発の一助となるよう「セキュア・プログラミング講座(*8)」、実習形式による脆弱性体験学習ツール「AppGoat(*9)」などの参考資料を公開しています。

図2-1. 2013年第4四半期に登録した脆弱性の種類別件数

2.2 脆弱性に関する深刻度別割合

 図2-2のグラフはJVN iPediaに登録済みの脆弱性対策情報の件数を脆弱性の深刻度別に分類し、公表年別にその推移を示したものです。

 脆弱性対策情報の公開開始から2013年12月31日までにJVN iPediaに登録された脆弱性対策情報の深刻度は、レベルIII(危険、CVSS基本値=7.0~10.0)が全体の44%、レベルII(警告、CVSS基本値=4.0~6.9)が同49%、レベルI(注意、CVSS基本値=0.0~3.9)が同7%となっています。

 これら既知の脆弱性の深刻度は全体の93%がサービス停止につながるような脅威であるレベルII以上となっています。既知の脆弱性による脅威を回避するため、製品利用者は製品のバージョンアップやセキュリティ対策パッチの適用などを速やかに行ってください。

図2-2. 脆弱性の深刻度別件数

2.3 脆弱性対策情報を公表した製品の種類別件数

 図2-3のグラフはJVN iPediaに登録済みの脆弱性対策情報を、ソフトウェア製品の種類別に件数を集計し、年次でその推移を示したものです。製品の種類別でみるとアプリケーションに関する脆弱性対策情報が全件のうちの85%を占めており、最も多く公表されています。

 また2008年頃以降、重要インフラなどで利用される、産業用制御システムに関する脆弱性対策情報が登録されるようになり、今四半期までに合計437件が登録されています。

図2-3. 脆弱性対策情報を公表した製品の種類別件数の公開年別推移

2.4 オープンソースソフトウェアの割合

 図2-4のグラフはJVN iPediaに登録済みの脆弱性対策情報のうち、オープンソースソフトウェア(OSS)とOSS以外のソフトウェアの公表年別推移を示したものです。累計ではOSS が17,228件、OSS以外が26,143件の登録があります。2007年以降、OSS以外の登録件数がそれ以前と比べて多くなっているのは、NVDに登録された脆弱性対策情報全てをJVN iPediaでも登録対象にしたことが要因です。累計についてのそれぞれの割合は、OSSが40%、OSS以外が60%となっています。

図2-4. オープンソースソフトウェア(OSS)とOSS以外の公開年別推移

2.5 登録された製品の開発元(ベンダー)の内訳

 図2-5-1、図2-5-2のグラフは、脆弱性対策情報の公開開始から2013年12月31日までにJVN iPediaに登録された製品の開発元(ベンダー)を分類したものです。OSSベンダーとOSS以外のベンダーを国内ベンダー、海外ベンダー(日本法人有り)、海外ベンダー(日本法人無し)でそれぞれ示しています。

 最も割合が多いのは日本法人の無いベンダーの製品です。OSSベンダーでは96.4%、OSS以外では、91.3%となっており、登録の9割以上の脆弱性対策情報が日本法人の無い海外ベンダーの製品のものであることがわかります。

 OSS製品は、無償なため、手軽に利用可能できる製品といった面がある一方、安全に使用するためのサポートがベンダーなどから十分に得られない可能性があります。そのため、OSS製品を利用する場合には、パッチ適用などのセキュリティ対策を利用者自ら実施できる体制を整えておくことが重要です。

(左)図2-5-1. OSSのベンダーの内訳、(右)図2-5-2. OSS以外のベンダーの内訳

3. 脆弱性対策情報の活用状況

 表3-1は2013年第4四半期(10月~12月)にアクセスの多かったJVN iPediaの脆弱性対策情報の、上位20件を示したものです。アクセスの1位はAndriod OSに関する脆弱性についてでした。また4位を初めとするApache HTTP Serverに関する脆弱性、9位と11位にランクインをしているApache Struts 2に関する脆弱性など、ウェブサイトを構成するためのサーバソフトウェアに関する脆弱性へのアクセスが多く集まりました。

 表3-2は国内の製品開発者から収集した脆弱性対策情報でアクセスの多かった上位5件を示しています。上位5件すべての深刻度はレベルIII(危険)となっており、攻撃をされた場合にサービス停止につながる可能性が高い脆弱性が注目されています。

表3-1.JVN iPediaの脆弱性対策情報へのアクセス 上位20件
[2013年10月~2013年12月]
# ID タイトル CVSS
基本値
公開日
1 JVNDB-2013-000111 Android OS において任意の Java のメソッドが実行される脆弱性 6.8 2013/12/17
2 JVNDB-2013-004553 複数の Microsoft 製品のカーネルモードドライバにおける任意のコードを実行される脆弱性 9.3 2013/10/10
3 JVNDB-2013-000103 一太郎シリーズにおいて任意のコードが実行される脆弱性 9.3 2013/11/12
4 JVNDB-2013-002948 Apache HTTP Server の mod_rewrite モジュールにおける任意のコマンドを実行される脆弱性 5.1 2013/6/12
5 JVNDB-2013-004456 複数の SONY ネットワークカメラ製品におけるクロスサイトリクエストフォージェリの脆弱性 6.8 2013/10/4
6 JVNDB-2012-001258 Apache HTTP Server の protocol.c における HTTPOnly Cookie の値を取得される脆弱性 4.3 2012/2/1
7 JVNDB-2013-004826 Node.js の HTTP サーバにおけるサービス運用妨害 (DoS) の脆弱性 5.0 2013/10/23
8 JVNDB-2013-004911 nginx のデフォルト設定における重要な情報を取得される脆弱性 7.5 2013/10/29
9 JVNDB-2013-003469 Apache Struts において任意のコマンドを実行される脆弱性 7.5 2013/7/23
10 JVNDB-2011-002305 SSL と TLS の CBC モードに選択平文攻撃の脆弱性 4.3 2011/10/4
11 JVNDB-2013-004372 Apache Struts における脆弱性 10.0 2013/10/2
12 JVNDB-2013-000119 Juniper ScreenOS におけるサービス運用妨害 (DoS) の脆弱性 7.8 2013/12/13
13 JVNDB-2013-004446 複数製品で使用されている International Components for Unicode (ICU) に解放済みメモリ使用 (use-after-free) の脆弱性 7.5 2013/10/3
14 JVNDB-2013-000093 Internet Explorer において任意のコードが実行される脆弱性 6.8 2013/9/19
15 JVNDB-2013-000094 Accela BizSearch におけるクロスサイトスクリプティングの脆弱性 4.3 2013/10/4
16 JVNDB-2013-000095 HDL-A および HDL2-A シリーズにおけるセッション管理に関する脆弱性 4.0 2013/10/18
17 JVNDB-2011-002172 Apache HTTPD サーバにサービス運用妨害 (DoS) の脆弱性 7.8 2011/9/1
18 JVNDB-2013-005095 複数の Apple 製品用 Tweetbot におけるユーザに不要なアクションの実行を自動的に強制される脆弱性 6.8 2013/11/14
19 JVNDB-2013-005585 PHP の ext/openssl/openssl.c 内の asn1_time_to_time_t 関数における任意のコードを実行される脆弱性 7.5 2013/12/18
20 JVNDB-2013-001460 TLS プロトコルおよび DTLS プロトコルにおける識別攻撃およびプレーンテキストリカバリ攻撃を誘発される脆弱性 2.6 2013/2/13
表3-2.国内の製品開発者から収集した脆弱性対策情報へのアクセス 上位5件
[2013年10月~2013年12月]
# ID タイトル CVSS
基本値
公開日
1 JVNDB-2013-004410 JP1/Base における任意のコマンドを実行される脆弱性 8.3 2013/10/3
2 JVNDB-2013-005262 Interstage HTTP Server のログ機能におけるバッファオーバーフローの脆弱性 10.0 2013/11/27
3 JVNDB-2013-004409 JP1/Automatic Job Management System 3 および JP1/Automatic Job Management System 2 における任意のコマンドを実行される脆弱性 8.3 2013/10/3
4 JVNDB-2013-004319 JP1/Cm2/Network Node Manager i に同梱されている Java における複数の脆弱性 9.7 2013/9/26
5 JVNDB-2013-004318 JP1/Cm2/Network Node Manager i における複数の脆弱性 9.7 2013/9/26

注1)CVSS基本値の深刻度による色分け

CVSS基本値=0.0~3.9
深刻度=レベルI(注意)
CVSS基本値=4.0~6.9
深刻度=レベルII(警告)
CVSS基本値=7.0~10.0
深刻度=レベルIII(危険)

注2)公開日の年による色分け

2011年以前の公開 2012年の公開 2013年の公開

脚注

(*1)Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/

(*2)National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
http://www.nist.gov/

(*3)National Vulnerability Database。NISTが運営する脆弱性データベース。
http://nvd.nist.gov/home.cfm

(*4)GoogleがAndroid端末向けに配布しているアプリの配布・販売用のサービス名称。アプリは、以下に示された種類にカテゴリ分けされている。
http://support.google.com/googleplay/android-developer/bin/answer.py?hl=ja&answer=113475

(*5)Common Vulnerability Scoring System、共通脆弱性評価システム。
http://www.ipa.go.jp/security/vuln/CVSS.html
脆弱性の基本評価基準の数値を基にI,II,IIIの3段階とし、数値が大きいほど深刻度が高い。

  • レベルIII:リモートからシステムを完全に制御されるような場合や大部分の情報が漏えいするような脅威。
  • レベルII:一部の情報が漏えいするような場合やサービス停止につながるような脅威。
  • レベルI:攻撃する為の条件が複雑な場合や、レベルIIに該当するが再現性が低い脅威。

(*6)Common Weakness Enumeration。概要は次を参照ください。
http://www.ipa.go.jp/security/vuln/CWE.html

(*7)制御機器の脆弱性に関する注意喚起
http://www.ipa.go.jp/about/press/20120229.html

(*8)http://www.ipa.go.jp/security/awareness/vendor/programmingv2/index.html

(*9)脆弱性体験学習ツール「AppGoat」。
http://www.ipa.go.jp/security/vuln/appgoat/index.html

資料のダウンロード

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター 渡辺/大森
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: