HOME情報セキュリティ脆弱性対策情報脆弱性対策情報データベースJVN iPediaの登録状況 [2014年第2四半期(4月~6月)]

本文を印刷する

情報セキュリティ

脆弱性対策情報データベースJVN iPediaの登録状況 [2014年第2四半期(4月~6月)]

独立行政法人情報処理推進機構
最終更新日:2014年7月23日

1. 2014年第2四半期 脆弱性対策情報データベース JVN iPediaの登録状況

 脆弱性対策情報データベース「JVN iPedia( http://jvndb.jvn.jp/ )」は、システム管理者が幅広いソフトウェア製品に関する脆弱性対策情報を日本語で取得し、迅速に脆弱性対策に活かせるよう、1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情報ポータルサイトJVN(*1)で公表した脆弱性対策情報、3)米国国立標準技術研究所NIST(*2)の脆弱性データベース「NVD (*3)」が公開したソフトウェアの脆弱性対策情報を集約、翻訳し、2007年4月25日から公開しています。

1.1 脆弱性対策情報の登録状況

~脆弱性対策情報の登録件数が累計46,000件を超過~

 2014年第2四半期(2014年4月1日から6月30日まで)にJVN iPedia日本語版へ登録した脆弱性対策情報は下表の通りとなり、脆弱性対策情報の登録件数が、累計46,000件を超過しました(表1-1、図1-1)。

 JVN iPedia英語版へ登録した脆弱性対策情報も下表の通りとなっており、累計で1,053件になっています。

表1-1.2014年第2四半期の登録件数
  情報の収集元 登録件数 累計件数
日本語版 国内製品開発者 2 158
JVN 145 3,280
NVD 1,552 43,422
1,699 46,860
英語版 国内製品開発者 2 158
JVN 29 895
31 1,053

図1-1. JVN iPediaの登録件数の四半期別推移

1.2 【注目情報1】深刻度の高い脆弱性による、情報漏えい被害なども発生

~OpenSSL、Adobe Flash Player、Internet Explorer、Apache Strutsの脆弱性の78%が 深刻度IIIの最も高いレベル~

 今四半期はOpenSSLをはじめ、Adobe Flash Player、Internet Explorer、Apache Struts(以下、攻撃が観測された脆弱性を持つ製品)で攻撃が観測され、IPAでも注意喚起(*4)を発信しました。Adobe Flash Player、Internet Explorerには海外でゼロデイ攻撃(*5)が観測されたほか、OpenSSLでは国内で攻撃が行われ情報漏えい被害(*6)が発生しました。

 図1-2-1は、今四半期において攻撃が観測された脆弱性を持つ製品において、JVN iPedia に2009年以降登録された脆弱性対策情報を年別に集計したものです。2014年上半期に登録された脆弱性対策情報は177件で、2013年の258件の68%にあたります

図1-2-1. 2014年第2四半期に攻撃が観測された脆弱性を持つ製品の登録件数推移

 図1-2-2は図1-2-1で集計した結果を深刻度割合(CVSS(*7))別に集計、図1-2-3はJVN iPediaに登録されたソフトウェア全体の脆弱性対策情報を深刻度割合別に集計したものです。図1-2-2では登録された脆弱性の深刻度レベル3が占める割合が78%となっています。ソフトウェア全体のレベル3の割合の43%と比較すると深刻度の高い脆弱性対策情報の割合が多いことがわかります。

図1-2-2. 攻撃が観測された脆弱性をもつ製品の深刻度割合 図1-2-3.ソフトウェア全体の深刻度割合

 図1-2-4は、攻撃の標的となった製品に関する脆弱性対策情報をCWE(*8)のタイプ別に分類した割合を示したものです。CWE-119(バッファエラー)が43%、CWE-399(リソース管理の問題)が11%、CWE-94(コード・インジェクション)が11%と続きます。最も多くの割合を占めるCWE-119(バッファエラー)は悪用されると、パソコン上で任意のコードを攻撃者に実行され、攻撃者にパソコンを制御されるなど深刻な被害が発生する可能性があります。

図1-2-4. 攻撃の標的となった製品の脆弱性の種類別割合

 図1-2-1で示したInternet Explorer、Adobe Flash Playerは多くのパソコン利用者に普及しているソフトウェアです。これらについて2013年10月にIPAが実施したセキュリティ対策の意識調査(*9)において、被害経験のない人のセキュリティ対策実施状況はWindows Updateが45.4%、Adobe Flash Playerのバージョンアップは35.4%しか行われていませんでした。また、被害経験のある人でもWindows Updateは55.9%、Adobe Flash Playerのバージョンアップは47.0%しか行われていませんでした。製品の脆弱性を解消しておけば、大抵の場合被害を回避できます。そのため、利用者は製品のアップデート時に自動更新機能を活用するなどアップデートに気づける設定管理を行い、迅速にアップデートを行うようにしてください。また、システム運営者は利用している製品のバージョンを管理し製品のアップデートの運用ルールに従い、迅速にアップデートできるようにしてください。

1.3 【注目情報2】ウェブサイト改ざんに悪用される製品について

~2014年上半期のCMS(*10)脆弱性対策情報の件数は6件と激減、しかしウェブサイト改ざんは横行~

 図1-3-1は、ウェブサイト改ざんに悪用されやすいCMSにおいて2009年以降JVN iPediaに登録された脆弱性対策情報を、年別に集計(*11)したものです。ウェブサイト改ざんが騒がれた2009年頃(*12)をピークに減少が続いていることがわかります。その後もウェブサイト改ざんは繰り返されていますが特に2014年上半期に登録された脆弱性対策情報は6件に激減していることから考えると、古いバージョンのCMSが利用されていることで、既知の脆弱性が残り、攻撃者に悪用されていると推測されます。

図1-3-1.JVN iPediaに登録されたCMSの脆弱性対策情報の年別登録件数

 IPAでは古いバージョンのCMSの脆弱性を狙ったウェブサイト改ざんが横行したことをうけ、2014年6月にCMSの利用者に注意喚起(*13)を発信しました。

 古いバージョンのCMSを放置しておくとウェブサイトが改ざんされ、ウィルスの拡散に悪用され、加害者になってしまうとも限りません。そのため、ウェブサイト運営者はCMSおよびCMSのプラグインなどの利用有無とそれらのバージョンを確認し、常に最新バージョンにアップデートしてください。また、サポートが終了したCMSについては代替のCMSへの移行もしくはウェブサイトの閉鎖を検討してください。

2. JVN iPediaの登録データ分類

2.1 脆弱性の種類別件数

 図2-1のグラフは、2014年第2四半期にJVN iPediaへ登録された脆弱性対策情報を、共通脆弱性タイプ一覧をCWE別に分類し、集計した件数を示したものです。

 集計結果は件数が多い順に、CWE-264(認可・権限・アクセス制御の問題)が221件、CWE-79(クロスサイト・スクリプティング)が218件、CWE-119(バッファエラー)が214件、CWE-20(不適切な入力確認)が176件、となりました。最も件数の多かったCWE-264(認可・権限・アクセス制御の問題)の場合、脆弱性が悪用されると不正に非公開情報が取得されるなどの可能性があります。

 製品開発者は、ソフトウェアの企画・設計段階から、セキュリティ対策を講じ、これら脆弱性の低減に努めることが求められます。なお、IPAでは、セキュアなプログラム開発の参考となる「セキュア・プログラミング講座(*14)」、脆弱性の仕組みを実習形式で学ぶことができる脆弱性体験学習ツール「AppGoat(*15)」などの資料やツールを公開しています。

図2-1. 2014年第2四半期に登録された脆弱性の種類別件数

2.2 脆弱性に関する深刻度別割合

 図2-2のグラフはJVN iPediaに登録済みの脆弱性対策情報を脆弱性の深刻度別に分類し、公表年別にその推移を示したものです。

 脆弱性対策情報の公開開始から2014年6月30日までにJVN iPediaに登録された脆弱性対策情報は深刻度別に、レベルIIIが全体の43%、レベルIIが50%、レベルIが7%となっています。

 これら既知の脆弱性の深刻度は全体の93%がサービス停止につながるような高い脅威である、レベルII 以上となっています。既知の脆弱性による脅威を回避するため、製品利用者は製品のバージョンアップやセキュリティ対策パッチの適用などを速やかに行ってください。

図2-2. 脆弱性の深刻度別件数

2.3 脆弱性対策情報を公表した製品の種類別件数

 図2-3のグラフはJVN iPediaに登録済みの脆弱性対策情報を、ソフトウェア製品の種類別に件数を集計し、年次でその推移を示したものです。最も多いのはアプリケーションに関する脆弱性対策情報で、全件の85%を占めています。

 また2008年以降、重要インフラなどで利用される、産業用制御システムに関する脆弱性対策情報が登録されるようになり、今四半期は54件、累計534件が登録されています。

図2-3. 脆弱性対策情報を公表した製品の種類別件数の公開年別推移

2.4 脆弱性対策情報の製品別登録状況

 表2-4は2014年第2四半期(4月~6月)に脆弱性対策情報の登録件数が多かった製品、上位20件を示したものです。上位3件(Internet Explorer、Google Chrome、Safari)と8位のFirefoxは全てブラウザ製品で、件数の多さが顕著です。一般的に脆弱性対策情報は毎日公開されていますが、ブラウザ製品のように件数の多い製品は頻繁にバージョンアップされることが多いため情報収集はこまめに行い、セキュリティ更新プログラムの適応漏れがないようにする必要があります

表2-4. 製品別JVN iPediaの脆弱性対策情報登録件数 上位20件 [2014年4月~2014年6月]
順位 カテゴリ 製品名(ベンダー) 登録件数
1 ブラウザ Internet Explorer(マイクロソフト) 86
2 ブラウザ Google Chrome(Google) 52
3 ブラウザ Safari(アップル) 34
3 開発環境 JDK、JRE(オラクル) 34
5 ミドルウェア Cosminexus(日立) 30
6 OS Linux Kernel(kernel.org) 29
7 その他 IBM InfoSphere Streams(IBM) 28
8 OS Cisco IOS(シスコシステムズ) 25
8 ブラウザ Mozilla Firefox(Mozilla Foundation) 25
10 OS Ubuntu(Ubuntu) 23
11 ミドルウェア MySQL(オラクル) 22
12 その他 ownCloud(ownCloud) 20
13 ミドルウェア Oracle Fusion Middleware(オラクル) 19
14 CMS CommonSpot(PaperThin) 16
14 OS Red Hat Enterprise Linux(レッドハット) 16
16 動画再生ソフト Adobe Flash Player(アドビシステムズ) 15
16 動画再生ソフト Apple TV(アップル) 15
16 OS Fedora(Fedora Project) 15
16 OS iOS(アップル) 15
16 CMS MediaWiki(MediaWiki) 15

3. 脆弱性対策情報の活用状況

 表3-1は2014年第2四半期(4月~6月)にアクセスの多かったJVN iPediaの脆弱性対策情報の、上位20件を示したものです。アクセスの1位はOpenSSLの暗号化通信の脆弱性についてでした。また、今四半期のアクセス上位20件の内OpenSSLに関するものが7件あり、対策情報を求めるアクセスが集中しました。また3位、5位、9位、17位のApache Strutsに関する脆弱性、19位のApache HTTP Serverに関する脆弱性など、ウェブサイトを構築するためのサーバソフトウェアに関する脆弱性へのアクセスも多く集まりました。特にOpenSSLとApache Strutsについては深刻な脆弱性が発見され、多くの製品やウェブサイトで利用されていたため、アクセス数が多くなったと考えられます。

表3-1.JVN iPediaの脆弱性対策情報へのアクセス 上位20件
[2014年4月~2014年6月]
順位 ID タイトル CVSS
基本値
公開日
1 JVNDB-2014-000048 OpenSSL における Change Cipher Spec メッセージの処理に脆弱性 4.0 2014/6/6
2 JVNDB-2014-002318 Windows 上で稼動する Mozilla Firefox および SeaMonkey の Cairo で使用される Pixman における任意のコードを実行される脆弱性 10.0 2014/5/1
3 JVNDB-2014-000045 Apache Struts において ClassLoader が操作可能な脆弱性 7.5 2014/4/25
4 JVNDB-2014-001920 OpenSSL の heartbeat 拡張に情報漏えいの脆弱性 5.0 2014/4/8
5 JVNDB-2014-001603 Apache Struts の ParametersInterceptor における ClassLoader を操作される脆弱性 7.5 2014/3/12
6 JVNDB-2014-000017 Apache Commons FileUpload におけるサービス運用妨害 (DoS) の脆弱性 5.0 2014/2/10
7 JVNDB-2014-002260 Internet Explorer に解放済みメモリ使用 (use-after-free) の脆弱性 10.0 2014/4/28
8 JVNDB-2014-001409 Internet Explorer に解放済みメモリ使用 (use-after-free) の脆弱性 9.3 2014/2/17
9 JVNDB-2014-002308 Apache Struts の ActionForm オブジェクトにおける ClassLoader を操作される脆弱性 7.5 2014/5/1
10 JVNDB-2014-000044 intra-mart におけるオープンリダイレクトの脆弱性 4.3 2014/5/8
11 JVNDB-2014-001795 OpenSSL のモンゴメリ・ラダーの実装における楕円曲線デジタル署名アルゴリズムのワンタイムトークンを取得される脆弱性 4.3 2014/3/26
12 JVNDB-2014-002765 OpenSSL の d1_both.c のdtls1_reassemble_fragment 関数における任意のコードを実行される脆弱性 6.8 2014/6/9
13 JVNDB-2010-005667 OpenSSL の s3_pkt.c の ssl3_read_bytes 関数におけるセッション間でデータを挿入される脆弱性 4.0 2014/4/16
14 JVNDB-2014-000041 Redmine におけるオープンリダイレクトの脆弱性 4.3 2014/4/16
15 JVNDB-2014-002137 Juniper ScreenOS におけるサービス運用妨害 (DoS) の脆弱性 7.8 2014/4/18
16 JVNDB-2014-000053 複数のジャストシステム製品同梱のオンラインアップデートプログラムに任意のコード実行可能な脆弱性 7.6 2014/6/11
17 JVNDB-2013-003469 Apache Struts において任意のコマンドを実行される脆弱性 7.5 2013/7/23
18 JVNDB-2014-002766 OpenSSL の d1_both.c のdtls1_get_message_fragment 関数におけるサービス運用妨害 (DoS) の脆弱性 4.3 2014/6/9
19 JVNDB-2014-001717 Apache HTTP Server の mod_log_config モジュールの mod_log_config.c におけるサービス運用妨害 (DoS) の脆弱性 5.0 2014/3/19
20 JVNDB-2014-002767 OpenSSL の s3_clnt.c の ssl3_send_client_key_exchange 関数におけるサービス運用妨害 (DoS) の脆弱性 4.3 2014/6/9

 表3-2は国内の製品開発者から収集した脆弱性対策情報でアクセスの多かった上位5件を示しています。上位3件の深刻度はレベルIII(危険)となっており、攻撃をされた場合にサービス停止につながる可能性が高い脆弱性や情報が窃取されてしまう脆弱性に対する情報を求めてアクセスが集まりました。

表3-2.国内の製品開発者から収集した脆弱性対策情報へのアクセス
上位5件 [2014年4月~2014年6月]
# ID タイトル CVSS
基本値
公開日
1 JVNDB-2014-002800 Hitachi Tuning Manager および JP1/Performance Management - Manager Web Option における複数の脆弱性 9.0 2014/6/11
2 JVNDB-2014-002802 日立の COBOL2002 製品の XML 連携機能における XXE の脆弱性 9.4 2014/6/11
3 JVNDB-2011-001633 Hitachi Web Server の RequestHeader ディレクティブによるヘッダカスタマイズにおける破棄したメモリ内のデータが参照される脆弱性 5.1 2011/5/26
4 JVNDB-2014-001594 JP1/File Transmission Server/FTP における FTP サーバ内の任意のディレクトリにアクセスされる脆弱性 8.5 2014/3/11
5 JVNDB-2014-001593 JP1/Integrated Management - Service Support におけるクロスサイトスクリプティング脆弱性 4.3 2014/3/11

注1)CVSS基本値の深刻度による色分け

CVSS基本値=0.0~3.9
深刻度=レベルI(注意)
CVSS基本値=4.0~6.9
深刻度=レベルII(警告)
CVSS基本値=7.0~10.0
深刻度=レベルIII(危険)

注2)公開日の年による色分け

2012年以前の公開 2013年の公開 2014年の公開

脚注

(*1) Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/

(*2) National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
http://www.nist.gov/

(*3) National Vulnerability Database。NISTが運営する脆弱性データベース。
http://nvd.nist.gov/home.cfm

(*4)更新:OpenSSL の脆弱性対策について(CVE-2014-0160)
http://www.ipa.go.jp/security/ciadr/vul/20140408-openssl.html
更新:Adobe Flash Player の脆弱性対策について(APSB14-13)(CVE-2014-0515)
http://www.ipa.go.jp/security/ciadr/vul/20140430-adobeflashplayer.html
更新:Internet Explorer の脆弱性対策について(CVE-2014-1776)
http://www.ipa.go.jp/security/ciadr/vul/20140428-ms.html
更新:Apache Struts2 の脆弱性対策について(CVE-2014-0094)(CVE-2014-0112)(CVE-2014-0113)
https://www.ipa.go.jp/security/ciadr/vul/20140417-struts.html

(*5)セキュリティ更新プログラムが提供前に脆弱性を悪用して行われる攻撃

(*6)弊社会員専用 WEB サービスへの不正アクセスにより 一部のお客さま情報が不正閲覧された件
http://www.cr.mufg.jp/corporate/info/pdf/2014/140418_01.pdf

(*7)Common Vulnerability Scoring System、共通脆弱性評価システム。
http://www.ipa.go.jp/security/vuln/CVSS.html
脆弱性の基本評価基準の数値を基に I、II、IIIの3段階とし、数値が大きいほど深刻度が高い。

  • レベルIII:リモートからシステムを完全に制御されるような場合や大部分の情報が漏えいするような脅威。
  • レベルII:一部の情報が漏えいするような場合やサービス停止につながるような脅威。
  • レベルI:攻撃する為の条件が複雑な場合や、レベルIIに該当するが再現性が低い脅威。

(*8)Common Weakness Enumeration。概要は次を参照ください。
http://www.ipa.go.jp/security/vuln/CWE.html

(*9)2013年度 情報セキュリティの脅威に対する意識調査報告書
http://www.ipa.go.jp/files/000035983.pdf

(*10)Contents Management System、ウェブサイトを簡易に構築・管理するためのソフトウェアの総称。

(*11)WordPressのプラグインは集計結果に含まれていません。

(*12)FTPアカウント窃取が原因と考えられるウェブサイト改ざんが相次ぎ、IPAでは注意喚起を行った。
http://www.ipa.go.jp/security/topics/20091224.html

(*13)管理できていないウェブサイトは閉鎖の検討を
http://www.ipa.go.jp/security/ciadr/vul/20140619-oldcms.html

(*14)http://www.ipa.go.jp/security/awareness/vendor/programmingv2/index.html

(*15)脆弱性体験学習ツール「AppGoat」。
http://www.ipa.go.jp/security/vuln/appgoat/index.html

資料のダウンロード

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター 関口/斉藤
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: