HOME情報セキュリティ脆弱性対策情報脆弱性対策情報データベースJVN iPediaの登録状況 [2015年第2四半期(4月~6月)]

本文を印刷する

情報セキュリティ

脆弱性対策情報データベースJVN iPediaの登録状況 [2015年第2四半期(4月~6月)]

独立行政法人情報処理推進機構
最終更新日:2015年7月22日

  • 以下は、「脆弱性対策情報データベース JVN iPediaに関する活動報告レポート」1章の抜粋です。2章以降は 活動報告レポート(PDF) をご参照ください。

1. 2015年第2四半期 脆弱性対策情報データベース JVN iPediaの登録状況

 脆弱性対策情報データベース「JVN iPedia( http://jvndb.jvn.jp/ )」は、ソフトウェア製品に関する脆弱性対策情報を2007年4月25日から日本語で公開しているものです。システム管理者が迅速に脆弱性対策を行えるよう、1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情報ポータルサイトJVN(*1)で公表した脆弱性対策情報、3)米国国立標準技術研究所NIST(*2)の脆弱性データベース「NVD(*3)」が公開した脆弱性対策情報を集約、翻訳しています。

1.1 脆弱性対策情報の登録状況

~脆弱性対策情報の登録件数の累計は54,714件~

 2015年第2四半期(2015年4月1日から6月30日まで)にJVN iPedia日本語版へ登録した脆弱性対策情報は下表の通りとなり、脆弱性対策情報の登録件数は、累計54,714件でした(表1-1、図1-1)。

 JVN iPedia英語版へ登録した脆弱性対策情報も下表の通りで、累計で1,228件になりました。

表1-1.2015年第2四半期の登録件数
  情報の収集元 登録件数 累計件数
日本語版 国内製品開発者 2 168
JVN 178 5,396
NVD 1,299 49,150
1,479 54,714
英語版 国内製品開発者 2 168
JVN 42 1,060
44 1,228

図1-1. JVN iPediaの登録件数の四半期別推移

1-2. 【注目情報1】医療行為等で利用されるソフトウェア製品の脆弱性対策について

~医療で利用されるシステムや機器にも脆弱性が存在、情報漏えいや誤作動などの被害に注意~

 2015年5月に海外のセキュリティ企業から医療デバイスのハイジャックに関するセキュリティレポートが公表されています(*4)。これによるとマルウェアに感染した医療機器が病院内のネットワークから情報を窃取する攻撃拠点にされた事例が発生しています。病院などの医療関連の設備等に組み込まれるソフトウェアにも脆弱性を悪用した攻撃による被害の懸念があります。
 表1-2は、JVN iPediaで公開をしている脆弱性対策情報から、医療情報を取扱うシステムや医療行為で利用されるソフトウェア製品の脆弱性対策情報を抽出したものです。JVN iPediaでは、2012年2月9日から医療で利用されるソフトウェアの脆弱性対策情報を公開しており、2015年6月時点で合計22件を公開しています。
 公開した情報の製品に着目をすると、電子カルテなどの医療情報を管理するためのソフトウェアであるOpenEMRに関する脆弱性が12件あり、その次に薬剤投与を管理するソフトウェアであるHospira MedNetに関する脆弱性が3件公開されています。

表1-2 医療で利用されるソフトウェア製品に関する脆弱性対策情報

表1-2 医療で利用されるソフトウェア製品に関する脆弱性対策情報

 これまでのJVN iPediaで公開をした医療で利用されるソフトウェアの脆弱性対策情報は、主にNVD(*5)などの海外の情報が基になっています。ただし海外製品であっても国内で利用されていれば、その影響を受ける可能性は否定できません。また国内製品について、新規の脆弱性が発見されるとも限りません。医療で利用されるソフトウェア製品も一般のPCなどのソフトウェアと同様、脆弱性が悪用される可能性があることを認識する必要があります。
 例えば、患者の重要な医療情報などを保有するシステムに脆弱性があった場合、情報漏えいなどの被害を受ける可能性が考えられます。また治療行為で利用される医療機器に脆弱性があった場合には、攻撃者により誤作動を引き起こされる可能性もあります。ソフトウェアを利用する医療設備の管理者は、使用している製品の脆弱性の有無を確認し、必要な対策を実施してください。また、治療行為で医療機器等を使用している利用者は自身に影響が及ばぬよう製品のアップデート等、必要な対策の有無を確認し、実施してください。
 なお、マルウェアなどによる被害を回避するため、IPAでは2015年6月2日に“多層防御のポイント”について解説した注意喚起(*6)を行っています。

1-3. 【注目情報2】公式サポートが終了したWindows Server 2003の脆弱性について

~直近1年間のWindows Sever 2003の脆弱性の62%は最も深刻度の高い「レベルIII(危険)」~

 マイクロソフト社が提供しているOS「Windows Server 2003」の公式サポートが2015年7月15日(日本時間)に終了しました。公式サポート終了以降はWindows Server 2003に関する修正プログラムが提供されなくなります。
 2014年7月から2015年6月までの直近1年間のWindows Server 2003に関する脆弱性は69件の登録がありました。このうち深刻度が最も高い「レベルIII 危険」と分類された脆弱性は全体の62%を占めています。JVN iPedia全体に占める「レベルIII 危険」が26%であることと比べても倍以上の開きがあります(図1-3-1)。

図1-3-1. Windows Sever 2003 直近1年分 深刻度別脆弱性割合

 図1-3-2は、「Windows Server 2003」の登録件数を月別で集計したグラフです。サポート終了直前の2015年6月を見ると12件中11件が深刻度が最も高い「レベルIII 危険」と分類されており、深刻な脆弱性がサポート終了の直前でも存在している状況が見てとれます(*7)

図1-3-2. Windows Sever 2003 直近1年分 登録件数

脚注

(*1) Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/

(*2) National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
http://www.nist.gov/

(*3) National Vulnerability Database。NISTが運営する脆弱性データベース。
http://nvd.nist.gov/home.cfm

(*4) レポート名「ANATOMY OF AN ATTACK (MEDJACK "Medical Device Hijack")」
右記URLからダウンロードが可能(メール登録等が必須)http://deceive.trapx.com/AOAMEDJACK_210_Landing_Page.html

(*5) National Vulnerability Database。NISTが運営する脆弱性データベース。
http://nvd.nist.gov/home.cfm

(*6) IPA「【注意喚起】ウイルス感染を想定したセキュリティ対策と運用管理を」
https://www.ipa.go.jp/security/ciadr/vul/20150602-secop.html

(*7) サポート終了日2015年7月15日に公開された「Windows Server 2003」の脆弱性対策情報の件数は以下の通りです。
2015年7月分の件数(深刻度別):11件(危険5件、警告4件、注意2件)

資料のダウンロード

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター 斉藤/亀山
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: