HOME情報セキュリティ脆弱性対策情報脆弱性対策情報データベースJVN iPediaの登録状況 [2015年第1四半期(1月~3月)]

本文を印刷する

情報セキュリティ

脆弱性対策情報データベースJVN iPediaの登録状況 [2015年第1四半期(1月~3月)]

独立行政法人情報処理推進機構
最終更新日:2015年4月22日

  • 以下は、「脆弱性対策情報データベース JVN iPediaに関する活動報告レポート」1章の抜粋です。2章以降は 活動報告レポート(PDF) をご参照ください。

1. 2015年第1四半期 脆弱性対策情報データベース JVN iPediaの登録状況

 脆弱性対策情報データベース「JVN iPedia( http://jvndb.jvn.jp/ )」は、ソフトウェア製品に関する脆弱性対策情報を2007年4月25日から日本語で公開しているものです。システム管理者が迅速に脆弱性対策を行えるよう、1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情報ポータルサイトJVN(*1)で公表した脆弱性対策情報、3)米国国立標準技術研究所NIST(*2)の脆弱性データベース「NVD (*3)」が公開したソフトウェアの脆弱性対策情報を集約、翻訳しています。

1.1 脆弱性対策情報の登録状況

~脆弱性対策情報の登録件数の累計は53,235件~

 2015年第1四半期(2015年1月1日から3月31日まで)にJVN iPedia日本語版へ登録した脆弱性対策情報は下表の通りとなり、脆弱性対策情報の登録件数は、53,235件でした(表1-1、図1-1)。

 JVN iPedia英語版へ登録した脆弱性対策情報は下表の通り、累計で1,184件になりました。

表1-1.2015年第1四半期の登録件数
  情報の収集元 登録件数 累計件数
日本語版 国内製品開発者 5 166
JVN 181 5,218
NVD 1,550 47,851
1,736 53,235
英語版 国内製品開発者 5 166
JVN 41 1,018
46 1,184

図1-1. JVN iPediaの登録件数の四半期別推移

1-2. 【注目情報】公式サポートが終了するJava SE7およびWindows Server 2003に深刻度の高い脆弱性が多数存在

~直近1年間のWindows Sever 2003の脆弱性の63.3 %は最も深刻度の高い「レベルIII(危険)」~

 2015年4月30日にJava SE7(Java Platform, Standard Edition 7)、7月15日にWindows Server 2003の公式サポートが終了します。公式サポートが終了すると、新たな脆弱性が発見されても、修正プログラムやアップデートが提供されなくなり、脆弱性を悪用した攻撃によるウイルス感染などの危険性が高くなります。ソフトウェアの利用者には、ベンダーがサポートしているバージョンへの速やかな移行が求められます。IPAではこれら製品に対して、公式サポート終了後の継続利用はリスクが高いと既に、注意喚起しています(*4)(*5)

 2014年4月から2015年3月までの直近の1年間の登録では、Java SE7およびWindows Server 2003に関連する情報が多数公開されています。それぞれのソフトウェアに関する脆弱性対策情報の登録状況を以下に記載します。

(1) Java SE7

 オラクルコーポレーション社が提供している「Java SE7」の公式サポートが2015年4月30日に終了します。オラクルコーポレーション社のソフトウェアは通常3カ月に1回定例パッチを公開していますが、サポート終了以降はJava SE7に関するパッチが無償の公式サポートからは提供されなくなります(*6)

 2014年4月から2015年3月までの登録状況を見ると、Java実行環境であるJRE 7(Java SE7の一部の製品)に関する脆弱性対策情報が計88件公開されています。(図1-2-1)。また同期間の深刻度が最も高い「危険」と分類される脆弱性対策情報は43.2%でした。JVN iPedia全体で「危険」と分類される脆弱性対策情報が24.8%であることと比較すると、深刻度が高い脆弱性対策情報の割合が高いことがわかります(図1-2-2、図1-2-3)。

図1-2-1. JVN iPedia 登録件数(製品名:JRE 7)

図1-2-2. 深刻度の割合(製品名:JRE 7)

(2) Windows Server 2003

 マイクロソフト社が提供しているOS「Windows Server 2003」の公式サポートが2015年7月15日に終了します。公式サポート終了以降はWindows Server 2003に関するパッチが提供されなくなります。

 2014年4月から2015年3月までの登録状況を見ると、Windows Server 2003に関する脆弱性は期間内で49件公開されています (図1-2-4)。また同期間で深刻度が最も高い「危険」と分類される脆弱性が63.3%を占めており、JVN iPedia全体と比較すると「危険」と分類される脆弱性の割合は2.5倍超にも上ります(図1-2-5、図1-2-6)。

図1-2-1. JVN iPedia 登録件数(製品名:Windows Server 2003)

図1-2-2. 深刻度の割合(製品名:Windows Server 2003)

 ソフトウェアに脆弱性が発見された場合、サポート期間内であればベンダーからパッチ等が提供され、システム管理者は脆弱性への対策を行うことができます。しかし、公式サポートが終了したソフトウェアに脆弱性が含まれている場合には、対策パッチ等がベンダーから提供されないため対策を行うことができません。このため、サポートが切れたソフトウェアを継続利用した場合、脆弱性を悪用されてウイルス感染やシステムの乗っ取り等様々な影響を受ける可能性があります。

 システムの管理者は自組織のシステムにおいてサポートが終了した、あるいは終了予定があるソフトウェアの有無を確認し、該当するソフトウェアがインストールされている場合には、移行計画を策定するなどして、必要に応じてベンダーがサポートするバージョンへの移行などを行ってください。

脚注

(*1) Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/

(*2) National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
http://www.nist.gov/

(*3) National Vulnerability Database。NISTが運営する脆弱性データベース。
http://nvd.nist.gov/home.cfm

(*4) IPA「公式サポートが終了する Java SE 7 の利用者に向けた注意喚起」
https://www.ipa.go.jp/security/announce/java7_eol.html

(*5) IPA「Windows Server 2003のサポート終了に伴う注意喚起」
https://www.ipa.go.jp/security/announce/win2003_eos.html

(*6)「Oracle Java SEサポート・ロードマップ」
http://www.oracle.com/technetwork/jp/java/eol-135779-ja.html

資料のダウンロード

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター 斉藤/亀山
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: