HOME情報セキュリティ脆弱性対策情報脆弱性対策情報データベースJVN iPediaの登録状況 [2014年第1四半期(1月~3月)]

本文を印刷する

情報セキュリティ

脆弱性対策情報データベースJVN iPediaの登録状況 [2014年第1四半期(1月~3月)]

独立行政法人情報処理推進機構
最終更新日:2014年4月23日

1. 2014年 第1四半期 脆弱性対策情報データベース JVN iPediaの登録状況

 脆弱性対策情報データベース「JVN iPedia( http://jvndb.jvn.jp/)」は、システム管理者が幅広いソフトウェア製品に関する脆弱性対策情報を日本語で取得し、迅速に脆弱性対策に活かせるよう、1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情報ポータルサイトJVN(*1)で公表した脆弱性対策情報、3)米国国立標準技術研究所NIST(*2)の脆弱性データベース「NVD(*3)」が公開したソフトウェアの脆弱性対策情報を集約、翻訳し、2007年4月25日から公開しています。

1.1 脆弱性対策情報の登録状況

~脆弱性対策情報の登録件数が累計45,000件を超過~

 2014年第1四半期(2014年1月1日から3月31日まで)にJVN iPedia日本語版へ登録した脆弱性対策情報は下表の通りとなり、脆弱性対策情報の登録件数が、累計45,000件を超過しました(表1-1、図1-1)。(*4)

 JVN iPedia英語版へ登録した脆弱性対策情報も下表の通りとなっており、累計で1,022件になっています。

表1-1.2014年第1四半期の登録件数
  情報の収集元 登録件数 累計件数
日本語版 国内製品開発者 3 156
JVN 264 3,135
NVD 1,523 41,870
1,790 45,161
英語版 国内製品開発者 3 156
JVN 32 866
35 1,022

図1-1. JVN iPediaの登録件数の四半期別推移

1-2 【注目情報】 登録されたMicrosoft製品の脆弱性のうち、サポートが終了したWindowsXP等の脆弱性は全体の28%

~深刻度の高い脆弱性が全体の8割超、早急な後継製品への移行を~

 2014年4月9日にWindowsXP、Microsoft Office 2003、Internet Explorer 6のサポートが終了しました。これらサポートが終了した3製品(以下、サポート終了3製品)の脆弱性が今後発見されたとしても脆弱性は修正されないため、サポート終了3製品を継続して利用しているパソコンは常にセキュリティリスクを抱えた状態になります。

 図1-2-1は、サポート終了直前である今四半期においてJVN iPedia に登録されたMicrosoft製品の脆弱性対策情報です。合計は72件で、うちサポート終了3製品の情報は20件、その割合は全体の28%でした。また、その内訳は、Internet Explorer 6が17%、WindowsXPが7%、Microsoft Office 2003が4%でした。

 IEの脆弱性の中には、古いバージョンのまま使用していると、悪意ある細工を施したページを表示させられ、マルウェアへの感染による情報漏えいや攻撃者によってパソコンが制御されてしまう可能性がありました。実際、セキュリティ更新プログラムが提供された時点で既に攻撃が観測されていました。(*5)

図1-2-1. JVNiPedia に登録された Microsoft 製品の脆弱性のうち、4月9日にサポートが終了した製品の脆弱性割合

 図1-2-2は図1-2-1のサポート終了3製品の脆弱性対策情報20件を製品毎の深刻度割合(CVSS(*6))別に集計、図1-2-3はソフトウェア全体の脆弱性対策情報を深刻度割合別に集計したものです。サポートが終了したMicrosoft製品に対する脆弱性は深刻度レベル3の割合が85%となっており、ソフトウェア全体と比較すると深刻度の高い脆弱性対策情報の登録が多いことがわかります。この結果から、Microsoft社が脆弱性の検査を独自の基準・方法で厳しく行い、製品のセキュリティ向上のため、深刻度の高い脆弱性の検出を最優先にしているのではないかと考えられます。

図1-2-2. 4月9日にサポート終了したMicrosoft製品の深刻度割合、図1-2-3.ソフトウェア全体の深刻度割合

 図1-2-4は、図1-2-1の中のサポート終了3製品に関する脆弱性対策情報をCWE(*7)のタイプ別に分類した割合を示したものです。CWE-119(バッファエラー)が84%と登録の割合が圧倒的に多いことがグラフから見てとれます。この脆弱性が悪用されると、攻撃者にパソコン上で不正なプログラムが実行されて、攻撃者にパソコンを制御される可能性があります。

図1-2-4. 4月9日にサポートが終了したMicrosoft製品の脆弱性の種類別割合

 サポート終了直前の約3ヶ月間においても、サポート終了3製品に対する深刻度の高い脆弱性対策情報が公開されています。サポート終了後はベンダーから脆弱性対策情報が公開されないため、潜在するセキュリティリスクに対して適切な対応が取れず、マルウェアの感染や攻撃者からの侵入を許してしまうリスクが高い状態となるため、サポートが終了した製品については、継続して利用せずサポートが継続している後継製品または代替製品に移行することが必要です。

2. JVN iPediaの登録データ分類

2.1 脆弱性の種類別件数

 図2-1のグラフは、2014年第1四半期にJVN iPediaへ登録された脆弱性対策情報を、共通脆弱性タイプ一覧CWEのタイプ別に分類し、集計した件数を示したものです。

 タイプ別は件数が多い順に、CWE-79(クロスサイト・スクリプティング)が262件、CWE-119(バッファエラー)が191件、CWE-264(認可・権限・アクセス制御の問題)が187件、CWE-20(不適切な入力確認)が152件、となりました。

 製品開発者は、ソフトウェアの企画・設計段階から、セキュリティ対策を講じ、これら脆弱性の低減に努めることが求められます。なお、IPAでは、セキュアなプログラム開発の一助となるよう「セキュア・プログラミング講座(*8)」、脆弱性の仕組みを実習形式で学ぶことができる脆弱性体験学習ツール「AppGoat(*9)」などの参考資料やツールを公開しています。

図2-1. 2014年第1四半期に登録した脆弱性の種類別件数

2.2 脆弱性に関する深刻度別割合

 図2-2のグラフはJVN iPediaに登録済みの脆弱性対策情報の件数を脆弱性の深刻度別に分類し、公表年別にその推移を示したものです。

 脆弱性対策情報の公開開始から2014年3月31日までにJVN iPediaに登録された脆弱性対策情報の深刻度は、レベルIIIが全体の43%、レベルIIが50%、レベルIが7%となっています。

 これら既知の脆弱性の深刻度は全体の93%がサービス停止につながるような脅威であるレベルII以上となっています。既知の脆弱性による脅威を回避するため、製品利用者は製品のバージョンアップやセキュリティ対策パッチの適用などを速やかに行ってください。

図2-2. 脆弱性の深刻度別件数

2.3 脆弱性対策情報を公表した製品の種類別件数

 図2-3のグラフはJVN iPediaに登録済みの脆弱性対策情報を、ソフトウェア製品の種類別に件数を集計し、年次でその推移を示したものです。製品の種類別でみるとアプリケーションに関する脆弱性対策情報が全件のうちの85%を占めており、最も多く公表しています。

 また2008年頃以降、重要インフラなどで利用される、産業用制御システムに関する脆弱性対策情報が登録されるようになり、今四半期は43件、累計480件を登録しています。

図2-3. 脆弱性対策情報を公表した製品の種類別件数の公開年別推移

2.4 脆弱性対策情報の製品別登録状況

 表2-4は2014年第1四半期(1月~3月)に脆弱性対策情報の登録件数が多かった製品、上位20件を示したものです。登録件数の上位3件にはInternet Explorer、Google Chrome、Mozilla Firefoxが並び、ブラウザ製品の脆弱性が頻繁に修正されていることがわかります。脆弱性対策情報は毎日複数件公開されており、気がつかないうちに使用している製品の脆弱性が修正され、最新のバージョンに更新されている場合があります。

 その中でも登録件数が多い製品は短期間で何度もバージョンアップを行っている可能性があり、情報収集に漏れが生じる可能性があります。そのため下記のリストを参考に多くの脆弱性対策情報が登録されている製品については特に注意し、情報収集やセキュリティ更新プログラムの適応など、漏れなく対策が行う必要があります。

表2-4.JVN iPediaの脆弱性対策情報の登録製品の件数 上位20件 [2014年1月~2014年3月]
順位 カテゴリ 製品名(ベンダー) 登録件数
1 ブラウザ Internet Explorer(マイクロソフト) 53
2 ブラウザ Google Chrome(Google) 45
3 ブラウザ Mozilla Firefox(Mozilla Foundation) 36
3 開発環境 JDK、JRE(オラクル) 36
3 その他 ownCloud(ownCloud) 36
6 OS Linux Kernel(kernel.org) 33
7 その他 Mozilla SeaMonkey(Mozilla Foundation) 28
8 OS Apple iOS(アップル) 27
8 ミドルウェア MySQL(オラクル) 27
10 ミドルウェア Cosminexus(日立) 26
10 OS Red Hat Enterprise Linux(レッドハット) 26
12 ネットワーク関連ソフト Cisco Unified Communications Manager
(シスコシステムズ)
21
12 メール Mozilla Thunderbird(Mozilla Foundation) 21
14 画像再生ソフト Apple TV(アップル) 19
15 OS Ubuntu(Ubuntu) 16
16 メッセンジャー Pidgin(Pidgin) 14
17 eラーニングシステム Moodle(Moodle) 13
17 CMS Plone(Plone Foundation) 13
19 その他 IBM Algo One(IBM) 12
19 OS openSUSE(Novell) 12

3. 脆弱性対策情報の活用状況

 表3-1は2014年第1四半期(1月~3月)にアクセスの多かったJVN iPediaの脆弱性対策情報の、上位20件を示したものです。アクセスの1位はNTPがDDoS攻撃の踏み台にさせられる脆弱性についてでした。また2位にApache Commons FileUploadに関する脆弱性、6位と7位にランクインをしているApache HTTP Serverに関する脆弱性など、ウェブサイトを構成するためのサーバソフトウェア(*10)に関する脆弱性へのアクセスが多く集まりました(*11)

 表3-2は国内の製品開発者から収集した脆弱性対策情報でアクセスの多かった上位5件を示しています。上位3件の深刻度はレベルIII(危険)となっており、攻撃をされた場合にサービス停止につながる可能性が高い脆弱性や情報が窃取されてしまう脆弱性が注目されています。

表3-1.JVN iPediaの脆弱性対策情報へのアクセス 上位20件 [2014年1月~2014年3月]
順位 ID タイトル CVSS
基本値
公開日
1 JVNDB-2013-005768 NTP の ntpd の ntp_request.c 内の monlist 機能におけるサービス運用妨害 (DoS) の脆弱性 5.0 2014/1/7
2 JVNDB-2014-000017 Apache Commons FileUpload におけるサービス運用妨害 (DoS) の脆弱性 5.0 2014/2/10
3 JVNDB-2013-000111 Android OS において任意の Java のメソッドが実行される脆弱性 6.8 2013/12/17
4 JVNDB-2014-001409 Internet Explorer に解放済みメモリ使用 (use-after-free) の脆弱性 9.3 2014/2/17
5 JVNDB-2014-001243 Apple iTunes におけるコンテンツを偽装される脆弱性 5.8 2014/1/27
6 JVNDB-2012-001258 Apache HTTP Server の protocol.c における HTTPOnly Cookie の値を取得される脆弱性 4.3 2012/2/1
7 JVNDB-2013-002948 Apache HTTP Server の mod_rewrite モジュールにおける任意のコマンドを実行される脆弱性 5.1 2013/6/12
8 JVNDB-2014-000006 EC-CUBE における情報漏えいの脆弱性 5.0 2014/1/22
9 JVNDB-2014-000011 三四郎シリーズにおいて任意のコードが実行される脆弱性 9.3 2014/1/28
10 JVNDB-2012-000075 Sleipnir Mobile for Android において任意の Java のメソッドが実行される脆弱性 5.8 2012/8/8
11 JVNDB-2011-002305 SSL と TLS の CBC モードに選択平文攻撃の脆弱性 4.3 2011/10/4
12 JVNDB-2014-001301 Oracle MySQL および MariaDB の client/mysql.cc におけるバッファオーバーフローの脆弱性 7.5 2014/2/4
13 JVNDB-2013-000119 Juniper ScreenOS におけるサービス運用妨害 (DoS) の脆弱性 7.8 2013/12/13
14 JVNDB-2014-001305 ZTE ZXV10 W300 に認証情報がハードコードされている問題 9.3 2014/2/5
15 JVNDB-2013-000123 VMware ESX および ESXi において任意のファイルにアクセス可能な問題 2.1 2013/12/24
16 JVNDB-2013-005585 PHP の ext/openssl/openssl.c 内の asn1_time_to_time_t 関数における任意のコードを実行される脆弱性 7.5 2013/12/18
17 JVNDB-2013-000016 Kingsoft Writer におけるバッファオーバーフローの脆弱性 6.8 2013/3/1
18 JVNDB-2013-005745 OpenSSL の DTLS の再送信の実装における異なるコンテキストの使用を誘発される脆弱性 5.8 2014/1/6
19 JVNDB-2014-000027 spモードメールにおける受信メールの添付ファイルへのアクセスに関する問題 2.6 2014/3/18
20 JVNDB-2014-000029 spモードメールにおいて Java メソッドが実行される脆弱性 6.8 2014/3/18
表3-2.国内の製品開発者から収集した脆弱性対策情報へのアクセス 上位5件 [2014年1月~2014年3月]
順位 ID タイトル CVSS
基本値
公開日
1 JVNDB-2014-001203 Hitachi Device Manager Software に同梱されている Host Data Collector における CPU を不当に占有する脆弱性 7.8 2014/1/21
2 JVNDB-2014-001594 JP1/File Transmission Server/FTP における FTP サーバ内の任意のディレクトリにアクセスされる脆弱性 8.5 2014/3/11
3 JVNDB-2013-005262 Interstage HTTP Server のログ機能におけるバッファオーバーフローの脆弱性 10.0 2013/11/27
4 JVNDB-2013-005669 日立 Cosminexus Component Container における情報を取得される脆弱性 2.6 2013/12/25
5 JVNDB-2014-001593 JP1/Integrated Management - Service Support におけるクロスサイトスクリプティング脆弱性 4.3 2014/3/11

注1)CVSS基本値の深刻度による色分け

CVSS基本値=0.0~3.9
深刻度=レベルI(注意)
CVSS基本値=4.0~6.9
深刻度=レベルII(警告)
CVSS基本値=7.0~10.0
深刻度=レベルIII(危険)

注2)公開日の年による色分け

2012年以前の公開 2013年の公開 2014年の公開

脚注

(*1)Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/

(*2)National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
http://www.nist.gov/

(*3)National Vulnerability Database。NISTが運営する脆弱性データベース。
http://nvd.nist.gov/home.cfm

(*4)2012年の登録件数の急増は、過去にNVDにて公開され、JVNiPediaに未反映であった脆弱性対策情報を登録したため。

(*5)Microsoft 製品の脆弱性対策について(2014年2月)
https://www.ipa.go.jp/security/ciadr/vul/20140212-ms.html
Microsoft 製品の脆弱性対策について(2014年3月)
https://www.ipa.go.jp/security/ciadr/vul/20140312-ms.html

(*6)Common Vulnerability Scoring System、共通脆弱性評価システム。
http://www.ipa.go.jp/security/vuln/CVSS.html
脆弱性の基本評価基準の数値を基にI,II,IIIの3段階とし、数値が大きいほど深刻度が高い。

  • レベルIII:リモートからシステムを完全に制御されるような場合や大部分の情報が漏えいするような脅威。
  • レベルII:一部の情報が漏えいするような場合やサービス停止につながるような脅威。
  • レベルI:攻撃する為の条件が複雑な場合や、レベルIIに該当するが再現性が低い脅威。

(*7)Common Weakness Enumeration。概要は次を参照ください。
http://www.ipa.go.jp/security/vuln/CWE.html

(*8)http://www.ipa.go.jp/security/awareness/vendor/programmingv2/index.html

(*9)脆弱性体験学習ツール「AppGoat」。
http://www.ipa.go.jp/security/vuln/appgoat/index.html

(*10)ウェブサイト上でサービスを提供するための機能を実装する各種ソフトウェア

(*11)本文中に記載のほか、8位、11位、12位、15位、18位がサーバーソフトウェアに該当

資料のダウンロード

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター 関口/斉藤
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: