HOME情報セキュリティ脆弱性対策情報脆弱性対策情報データベースJVN iPediaの登録状況 [2015年第3四半期(7月~9月)]

本文を印刷する

情報セキュリティ

脆弱性対策情報データベースJVN iPediaの登録状況 [2015年第3四半期(7月~9月)]

独立行政法人情報処理推進機構
最終更新日:2015年10月26日

  • 以下は、「脆弱性対策情報データベース JVN iPediaに関する活動報告レポート」1章の抜粋です。2章以降は 活動報告レポート(PDF) をご参照ください。

1. 2015年第3四半期 脆弱性対策情報データベース JVN iPediaの登録状況

 脆弱性対策情報データベース「JVN iPedia( http://jvndb.jvn.jp/ )」は、ソフトウェア製品に関する脆弱性対策情報を2007年4月25日から日本語で公開しているものです。システム管理者が迅速に脆弱性対策を行えるよう、1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情報ポータルサイトJVN(*1)で公表した脆弱性対策情報、3)米国国立標準技術研究所NIST(*2)の脆弱性データベース「NVD(*3)」が公開した脆弱性対策情報を集約、翻訳しています。

1-1. 脆弱性対策情報の登録状況

~脆弱性対策情報の登録件数の累計は56,475件~

 2015年第3四半期(2015年7月1日から9月30日まで)にJVN iPedia日本語版へ登録した脆弱性対策情報は下表の通りとなり、脆弱性対策情報の登録件数は、累計56,475件でした(表1-1、図1-1)。

 JVN iPedia英語版へ登録した脆弱性対策情報も下表の通り、累計で1,281件になりました。

表1-1.2015年第3四半期の登録件数
  情報の収集元 登録件数 累計件数
日本語版 国内製品開発者 0 168
JVN 326 5,722
NVD 1,435 50,585
1,761 56,475
英語版 国内製品開発者 0 168
JVN 53 1,113
53 1,281

図1-1. JVN iPediaの登録件数の四半期別推移

1-2. 【注目情報1】Adobe Flash Playerの脆弱性対策情報について

~今四半期のAdobe Flash Playerの登録件数は95件、昨年1年分の76件をわずか3ヶ月で超過~

 図1-2-1は2013年10月から2015年9月までの直近2年間のAdobe Flash Playerの脆弱性対策情報を四半期別で集計したものです。今四半期にJVN iPediaで公開した件数は95件で、昨年の公開件数76件をわずか3ヶ月で超過し、年別で見ると現時点で190件と累計件数は昨年の2.5倍となっています。
 なお、2015年7月上旬には、政府などに監視ソフトを販売するイタリア企業からAdobe Flash Playerの未知の脆弱性情報を含む機密情報が漏えいし(*4)、その後、この脆弱性情報を悪用した標的型攻撃が発生しました。

図1-2-1. Adobe Flash Playerの脆弱性の登録件数

 図1-2-2は、図1-2-1の今四半期のAdobe Flash Playerの脆弱性対策情報を深刻度割合別に集計し、JVN iPedia全体とで比較したものです。Adobe Flash Playerは95件のうち、深刻度が最も高い「レベルIII(危険)」と分類される脆弱性が89.5%を占めています。JVN iPedia全体に占める「レベルIII(危険)」が40.1%であることと比べると倍以上の割合となっています。

図1-2-2. Adobe Flash PlayerとJVN iPedia全体の深刻度別割合

 ウェブサイト閲覧時は通常、対象コンテンツが存在する場合、Adobe Flash Playerが自動的に実行されています。そのため、利用者は Adobe Flash Player の機能が使われていることを認識せずに、動画再生などを行っていることが多いと考えられます。その結果、Adobe Flash Player の修正パッチを適用せずにウェブを閲覧し、ウイルスに感染してしまうことがあります。これが、Adobe Flash Playerの脆弱性が狙われやすい要因のひとつと考えられます。
 そのため、Adobe Flash Playerを使用している利用者は、常に最新の状態を維持すること、不要な場合にはブラウザの設定などでAdobe Flash Playerの無効化設定を行うこと、あるいはアンインストールを行う、といった対策を実施する必要があります。

1-3. 【注目情報2】自動車に関する製品の脆弱性対策情報について

~今四半期、自動車に関する脆弱性対策情報をJVN iPedia上で初めて公開~

 2015年7月に自動車を遠隔から操作できる脆弱性に関する情報(*5)が公表され注目されました。これは、米国企業「Fiat Chrysler Automobiles」の自動車に搭載されている「Uconnect」(*6)の脆弱性を悪用することで、遠隔からエンジンの停止やハンドルの操作などを行うことが可能であることを実証したものです。この脆弱性への対策のために、前述の自動車メーカーが大量のリコールの必要に迫られました。
 JVN iPediaでは、7月にこの脆弱性情報も他の脆弱性対策情報と同様に日本語による翻訳を行い、一般の利用者や製品開発者向けに情報を公開しました(*7)。なお、本件は、JVN iPedia上で公開した初の自動車に関する脆弱性対策情報です。
 自動車に限らず、様々な機器が多様なサービス実現のためにソフトウェアを組み込む動きが進んでいることから、今後は幅広い製品のソフトウェアに関する脆弱性対策情報がJVN iPediaで登録・公開されることが考えられます。
 製品の利用者や管理者は、脆弱性の有無に注意を払い、アップデート情報が公開された場合には、すぐに対策パッチを適用するなど、日々の脆弱性対策を実施してください。

脚注

(*1) Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/

(*2) National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
http://www.nist.gov/

(*3) National Vulnerability Database。NISTが運営する脆弱性データベース。
http://nvd.nist.gov/home.cfm

(*4) FlashやWindowsに未解決の脆弱性、Hacking Teamの情報流出で発覚
http://www.itmedia.co.jp/enterprise/articles/1507/08/news054.html

(*5) クライスラー、ハッキング対策で140万台リコール
http://www.nikkei.com/article/DGXLASGM25H19_V20C15A7MM0000/

(*6) Uconnect。車内からワイヤレス・インターネット接続が可能なクライスラーの車載システムのこと。

(*7) Fiat Chrysler Automobiles で使用される Uconnect における車両移動を制御される脆弱性
http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-003899.html

資料のダウンロード

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター 斉藤/竹村
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: