HOME情報セキュリティ脆弱性対策情報脆弱性対策情報データベースJVN iPediaの登録状況 [2014年第3四半期(7月~9月)]

本文を印刷する

情報セキュリティ

脆弱性対策情報データベースJVN iPediaの登録状況 [2014年第3四半期(7月~9月)]

独立行政法人情報処理推進機構
最終更新日:2014年10月23日

1. 2014年第3四半期 脆弱性対策情報データベース JVN iPediaの登録状況

 脆弱性対策情報データベース「JVN iPedia( http://jvndb.jvn.jp/ )」は、ソフトウェア製品に関する脆弱性対策情報を2007年4月25日から日本語で公開しているものです。システム管理者が迅速に脆弱性対策を行えるよう、1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情報ポータルサイトJVN(*1)で公表した脆弱性対策情報、3)米国国立標準技術研究所NIST(*2)の脆弱性データベース「NVD (*3)」が公開したソフトウェアの脆弱性対策情報を集約、翻訳しています。

1.1 脆弱性対策情報の登録状況

~脆弱性対策情報の登録件数の累計は48,427件~

 2014年第3四半期(2014年7月1日から9月30日まで)にJVN iPedia日本語版へ登録した脆弱性対策情報は下表の通りとなり、脆弱性対策情報の登録件数は、48,427件でした(表1-1、図1-1)。

 JVN iPedia英語版へ登録した脆弱性対策情報も下表の通り、累計で1,101件になりました。

表1-1.2014年第3四半期の登録件数
  情報の収集元 登録件数 累計件数
日本語版 国内製品開発者 0 158
JVN 349 3,629
NVD 1,218 44,640
1,567 48,427
英語版 国内製品開発者 0 158
JVN 48 943
48 1,101

図1-1. JVN iPediaの登録件数の四半期別推移

1.2 【注目情報1】「SSL証明書を適切に検証しない脆弱性」の対策情報の登録件数が急増

~Android関連の脆弱性対策情報登録件数のうち84%が「SSL証明書を適切に検証しない脆弱性」~

 図1-2-1は、Android OSとアプリに関連する脆弱性対策情報の登録件数を四半期別に集計したものです。今期の登録は144件で、その内121件は「SSL証明書を適切に検証しない脆弱性」についてでした(CWE-310(*4)暗号の問題)。これは米国CERT/CC(*5)が複数のAndroidアプリに対してSSLサーバー証明書を適切に検証しているか調査(*6)を行った結果、その多くに脆弱性の存在が確認されたことが公表されたためです。これをうけ、当該脆弱性対策情報が登録され件数が急増したと考えられます。

 この脆弱性対策情報(*7)のように米国で公開されたたものは通常日本語に翻訳して公開しています。そうすることにより利用者は情報を効率的に入手できます。その他、この脆弱性の場合は過去に日本でJVNに公表された13件の脆弱性対策情報と関連があったため、情報を紐付けて参照することが可能になりました。

図1-2-1. Android OSやアプリに関連する脆弱性対策情報登録件数の四半期別推移

 この脆弱性を悪用されると図1-2-2のように通信が暗号化されていても攻撃者に通信が盗聴または改ざんされる可能性があります。IPAでは複数のAndroidアプリに同様の脆弱性が存在しているとして開発者に対し、注意喚起(*8)を2014年9月19日に発信しました。

図1-2-2. 中間者攻撃により不正なSSLサーバー証明書を用いて盗聴されるイメージ

 アプリの開発者は、安全なアプリ開発をするための知識習得に努めると共に、脆弱性があれば速やかに修正しアップデート版を公開してください。また、アプリの利用者は、速やかにアップデートを実施し脆弱性を解消してください。

 なお、IPAでは、Androidアプリの開発者向けに、脆弱性の学習・点検ツール「AnCoLe(*9)」を無償提供しています。AnCoLe を用いることで、ソースコードに「SSL証明書を適切に検証しない脆弱性」(SSL通信の実装不備)が無いか、点検が行えます。

1.3 【注目情報2】脆弱性を識別するCVE番号の下4桁が、4桁のほか5桁以上にも拡張予定

~MyJVN APIなどの利用者はCVE番号の拡張による自システムの影響確認を~

 CVE番号(*10)は、米MITRE(マイター)社(*11)が管理する、脆弱性を一意に識別するための番号です(拡張前の採番例:CVE-201X(採番年度)-1234(今回の拡張箇所))。これまでCVE番号の下4桁は数字4桁に固定されていたため、年度ごとに採番できる脆弱性の最大件数は9,999件でした。これを10,000件以上に対応するため、新たなフォーマットでは必要に応じて、番号部分が従来の4桁のほか5桁以上でも採番される予定です。(拡張後の採番例:CVE-201X-12345)

 その新フォーマットに沿った採番が、早ければ年内、遅くとも米国時間2015年1月13日(火)までに実施されることが、MITRE社から米国時間2014年9月17日に公表されました。IPAでも「脆弱性対策情報データベース JVN iPedia」および「脆弱性対策情報共有フレームワークMyJVN(*12)」において、新フォーマットによるCVE番号の運用を順次開始します。自組織で独自に作成されたプログラム等からMyJVN APIでMyJVN APIなどを参照している場合、5桁以上のCVE番号でも運用できるよう、システムに影響がないかを確認してください。

2. JVN iPediaの登録データ分類

2.1 脆弱性の種類別件数

 図2-1のグラフは、2014年第3四半期にJVN iPediaへ登録された脆弱性対策情報を、共通脆弱性タイプ一覧別に分類し、件数を集計したものです。

 集計結果は件数が多い順に、CWE-79(クロスサイト・スクリプティング)が271件、CWE-119(バッファエラー)が221件、CWE-310(暗号の問題)が147件、CWE-264(認可・権限・アクセス制御)が145件、でした。最も件数の多かったCWE-79(クロスサイト・スクリプティング)の場合、脆弱性が悪用されると本物サイト上に偽のページが表示されるなどの可能性があります。

 製品開発者は、ソフトウェアの企画・設計段階から、セキュリティ対策を講じ、これら脆弱性の低減に努めることが求められます。なお、IPAでは、セキュアなプログラム開発の参考となる「セキュア・プログラミング講座(*13)」、脆弱性の仕組みを実習形式や演習機能(*14)で学ぶことができる脆弱性体験学習ツール「AppGoat(*15)」などの資料やツールを公開しています。

図2-1. 2014年第3四半期に登録された脆弱性の種類別件数

2.2 脆弱性に関する深刻度別割合

 図2-2のグラフはJVN iPediaに登録済みの脆弱性対策情報を脆弱性の深刻度別に分類し、公表年別にその推移を示したものです。

 脆弱性対策情報の公開開始から2014年9月30日までにJVN iPediaに登録された脆弱性対策情報は深刻度別に、レベルIIIが全体の42%、レベルIIが51%、レベルIが7%となっています。

 これら既知の脆弱性の深刻度は全体の93%がサービス停止につながるような高い脅威である、レベルII 以上となっています。既知の脆弱性による脅威を回避するため、製品利用者は脆弱性が解消されている製品へのバージョンアップやアップデートなどを速やかに行ってください。

図2-2. 脆弱性の深刻度別件数

2.3 脆弱性対策情報を公表した製品の種類別件数

 図2-3のグラフはJVN iPediaに登録済みの脆弱性対策情報を、ソフトウェア製品の種類別に件数を集計し、年次でその推移を示したものです。最も多いのはアプリケーションに関する脆弱性対策情報で、全件の85%を占めています。

 また2008年以降、重要インフラなどで利用される、産業用制御システムに関する脆弱性対策情報が登録されるようになり、今四半期は50件、累計574件が登録されています。

図2-3. 脆弱性対策情報を公表した製品の種類別件数の公開年別推移

2.4 脆弱性対策情報の製品別登録状況

 表2-4は2014年第3四半期(7月~9月)に脆弱性対策情報の登録件数が多かった製品、上位20件を示したものです。ブラウザ製品の登録件数が多く、1位のInternet Explorer、5位のGoogle Chrome、7位のSafari、8位のMozilla Firefoxと上位を占めていることがわかります。その他、日立製作所の製品の脆弱性が多数修正されています。

 JVN iPediaではブラウザ製品や頻繁にバージョンアップされることが多い製品だけでなく、多岐にわたるソフトウェア製品の脆弱性情報を掲載しています。利用者は自組織で使用しているソフトウェアの脆弱性情報を迅速に入手し、効率的な対策に役立てることができます。

表2-4. 製品別JVN iPediaの脆弱性対策情報登録件数 上位20件 [2014年7月~2014年9月]
順位 カテゴリ 製品名(ベンダー) 登録件数
1 ブラウザ Internet Explorer(マイクロソフト) 108
2 OS iOS(アップル) 74
3 動画再生ソフト Apple TV(アップル) 51
4 OS Apple Mac OS X(アップル) 48
5 ブラウザ Google Chrome(Google) 41
6 OS Linux Kernel(kernel.org) 34
7 ブラウザ Safari(アップル) 27
8 ブラウザ Mozilla Firefox(Mozilla Foundation) 23
8 開発環境 Adobe AIR(アドビシステムズ) 23
8 開発環境 Adobe AIR SDK(アドビシステムズ) 23
8 動画再生ソフト Adobe Flash Player(アドビシステムズ) 23
12 メール Mozilla Thunderbird(Mozilla Foundation) 21
13 開発環境 JDK(オラクル) 20
13 開発環境 JRE(オラクル) 20
15 ネットワーク関連ソフト Wireshark(Wireshark) 17
15 統合開発・運用環境 Cosminexus Application Server Standard(日立 ) 17
15 統合開発・運用環境 Cosminexus Client(日立 ) 17
15 統合開発・運用環境 Cosminexus Studio(日立 ) 17
15 統合開発・運用環境 Cosminexus Primary Server(日立 ) 17
15 統合開発・運用環境 Cosminexus Developer(日立 ) 17

3. 脆弱性対策情報の活用状況

 表3-1は2014年第3四半期(7月~9月)にアクセスの多かったJVN iPediaの脆弱性対策情報の、上位20件を示したものです。アクセスの2位、4位のGNU bashに関する脆弱性(別名Shellshock)は攻撃を受けるとウェブアプリケーションやLinuxベースの組み込み機器、家庭内の無線LANルータやNASなど影響を受ける機器は多岐に及ぶ可能性がありました。しかも米国では攻撃も観測され、攻撃された際は影響が広範に渡ると考えられたため、IPAでは緊急対策情報(*16)を発信しました。

表3-1.JVN iPediaの脆弱性対策情報へのアクセス 上位20件
[2014年7月~2014年9月]
順位 ID タイトル CVSS
基本値
公開日
1 JVNDB-2014-000048 OpenSSL における Change Cipher Spec メッセージの処理に脆弱性 4.0 2014/6/6
2 JVNDB-2014-004410 GNU bash における任意のコードを実行される脆弱性 10.0 2014/9/29
3 JVNDB-2014-000045 Apache Struts において ClassLoader が操作可能な脆弱性 7.5 2014/4/25
4 JVNDB-2014-004399 GNU bash におけるファイルに書き込まれる脆弱性 10.0 2014/9/26
5 JVNDB-2014-003474 Apache HTTP Server の mod_status モジュールおけるサービス運用妨害 (DoS) の脆弱性 6.8 2014/7/22
6 JVNDB-2014-000087 アイ・オー・データ機器製の複数の IP カメラにおける認証回避の脆弱性 6.4 2014/7/29
7 JVNDB-2014-000017 Apache Commons FileUpload におけるサービス運用妨害 (DoS) の脆弱性 5.0 2014/2/10
8 JVNDB-2014-002767 OpenSSL の s3_clnt.c の ssl3_send_client_key_exchange 関数におけるサービス運用妨害 (DoS) の脆弱性 4.3 2014/6/9
9 JVNDB-2014-003719 OpenSSL クライアントにナルポインタ参照の脆弱性 5.0 2014/8/12
10 JVNDB-2014-003817 OpenSSL の SRP の実装の crypto/srp/srp_lib.c におけるバッファオーバーフローの脆弱性 7.5 2014/8/15
11 JVNDB-2014-002766 OpenSSL の d1_both.c の dtls1_get_message_fragment 関数におけるサービス運用妨害 (DoS) の脆弱性 4.3 2014/6/9
12 JVNDB-2014-003812 OpenSSL の crypto/objects/obj_dat.c 内の OBJ_obj2txt 関数におけるプロセスのスタックメモリから重要な情報を取得される脆弱性 4.3 2014/8/15
13 JVNDB-2014-000071 Becky! Internet Mail におけるバッファオーバーフローの脆弱性 5.1 2014/7/8
14 JVNDB-2014-002765 OpenSSL の d1_both.c の dtls1_reassemble_fragment 関数における任意のコードを実行される脆弱性 6.8 2014/6/9
15 JVNDB-2014-000102 Android 版アプリ Kindle における SSL サーバ証明書の検証不備の脆弱性 4.0 2014/8/29
16 JVNDB-2014-003475 Apache HTTP Server の mod_cgid モジュールおけるサービス運用妨害 (DoS) の脆弱性 5.0 2014/7/22
17 JVNDB-2014-000072 S2Struts において ClassLoader が操作可能な脆弱性 7.5 2014/7/15
18 JVNDB-2014-003473 Apache HTTP Server の mod_deflate モジュールの mod_deflate.c におけるサービス運用妨害 (DoS) の脆弱性 4.3 2014/7/22
19 JVNDB-2014-003472 Apache HTTP Server の mod_proxy モジュールにおけるサービス運用妨害 (DoS) の脆弱性 4.3 2014/7/22
20 JVNDB-2014-001920 OpenSSL の heartbeat 拡張に情報漏えいの脆弱性 5.0 2014/4/8

 表3-2は国内の製品開発者から収集した脆弱性対策情報でアクセスの多かった上位5件を示しています。上位2件の深刻度はレベルIII(危険)で、これらは攻撃をされた場合、情報窃取、改ざん、サービス停止といった被害に遭う可能性が高い脆弱性でした。このように影響が大きいと考えられる脆弱性対策情報がアクセスの上位にランクインしました。

表3-2.国内の製品開発者から収集した脆弱性対策情報へのアクセス
上位5件 [2014年7月~2014年9月]
# ID タイトル CVSS
基本値
公開日
1 JVNDB-2014-002800 Hitachi Tuning Manager および JP1/Performance Management - Manager Web Option における複数の脆弱性 9.0 2014/6/11
2 JVNDB-2014-002802 日立の COBOL2002 製品の XML 連携機能における XXE の脆弱性 9.4 2014/6/11
3 JVNDB-2007-001022 Apache の mod_autoindex.c における UTF-7 エンコードに関するクロスサイトスクリプティングの脆弱性 4.3 2007/12/25
4 JVNDB-2011-001633 Hitachi Web Server の RequestHeader ディレクティブによるヘッダカスタマイズにおける破棄したメモリ内のデータが参照される脆弱性 5.1 2011/5/26
5 JVNDB-2008-001313 JP1/Cm2/Network Node Manager におけるサービス運用妨害 (DoS) の脆弱性 5.0 2008/5/9

注1)CVSS基本値の深刻度による色分け

CVSS基本値=0.0~3.9
深刻度=レベルI(注意)
CVSS基本値=4.0~6.9
深刻度=レベルII(警告)
CVSS基本値=7.0~10.0
深刻度=レベルIII(危険)

注2)公開日の年による色分け

2012年以前の公開 2013年の公開 2014年の公開

脚注

(*1) Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/

(*2) National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
http://www.nist.gov/

(*3) National Vulnerability Database。NISTが運営する脆弱性データベース。
http://nvd.nist.gov/home.cfm

(*4)Common Weakness Enumeration。概要はhttp://www.ipa.go.jp/security/vuln/CWE.htmlを参照。

(*5)CERT/CC (CERT Coordination Center) は、インターネットセキュリティの問題に対処するための機関

(*6)Android application SSL spreadsheet(米国時間2014年9月18日0時時点の公表件数は617件)
https://docs.google.com/spreadsheets/d/1t5GXwjw82SyunALVJb2w0zi3FoLRIkfGPc7AMjRF0r4/edit?usp=sharing

(*7)JVNVU#90369988のタイトルは、「複数のAndroid アプリにSSL証明書を適切に検証しない脆弱性」。USで公開されたもの。
https://jvn.jp/vu/JVNVU90369988/

(*8)プレス発表 【注意喚起】HTTPSで通信するAndroidアプリの開発者はSSLサーバー証明書の検証処理の実装を
http://www.ipa.go.jp/about/press/20140919_1.html

(*9)Androidアプリの脆弱性の学習・点検ツール AnCoLe
http://www.ipa.go.jp/security/vuln/ancole/index.html

(*10)共通脆弱性識別子CVE(Common Vulnerabilities and Exposures)
http://www.ipa.go.jp/security/vuln/CVE.html

(*11)MITRE Corporation:米国政府向けの技術支援や研究開発を行う非営利組織
http://www.mitre.org/

(*12)脆弱性対策情報共有フレームワーク MyJVN
http://jvndb.jvn.jp/apis/myjvn/index.html

(*13)http://www.ipa.go.jp/security/awareness/vendor/programmingv2/index.html

(*14)プレス発表 「脆弱性体験学習ツール AppGoat ウェブアプリケーション学習版」を機能強化
https://www.ipa.go.jp/about/press/20140310.html

(*15)脆弱性体験学習ツール「AppGoat」。
http://www.ipa.go.jp/security/vuln/appgoat/index.html

(*16)http://www.ipa.go.jp/security/ciadr/vul/20140926-bash.html

資料のダウンロード

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター 関口/斉藤
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: