HOME情報セキュリティ脆弱性対策情報脆弱性対策情報データベースJVN iPediaの登録状況 [2015年第4四半期(10月~12月)]

本文を印刷する

情報セキュリティ

脆弱性対策情報データベースJVN iPediaの登録状況 [2015年第4四半期(10月~12月)]

独立行政法人情報処理推進機構
最終更新日:2016年1月28日

  • 以下は、「脆弱性対策情報データベース JVN iPediaに関する活動報告レポート」1章の抜粋です。2章以降は 活動報告レポート(PDF) をご参照ください。

1. 2015年第4四半期 脆弱性対策情報データベース JVN iPediaの登録状況

 脆弱性対策情報データベース「JVN iPedia( http://jvndb.jvn.jp/ )」は、ソフトウェア製品に関する脆弱性対策情報を2007年4月25日から日本語で公開しているものです。システム管理者が迅速に脆弱性対策を行えるよう、1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情報ポータルサイトJVN(*1)で公表した脆弱性対策情報、3)米国国立標準技術研究所NIST(*2)の脆弱性データベース「NVD(*3)」が公開した脆弱性対策情報を集約、翻訳しています。

1-1. 脆弱性対策情報の登録状況

~脆弱性対策情報の登録件数の累計は58,094件~

 2015年第4四半期(2015年10月1日から12月31日まで)にJVN iPedia日本語版へ登録した脆弱性対策情報は下表の通りとなり、脆弱性対策情報の登録件数は、累計58,094件でした(表1-1、図1-1)。

 JVN iPedia英語版へ登録した脆弱性対策情報も下表の通り、累計で1,337件になりました。

表1-1.2015年第4四半期の登録件数
  情報の収集元 登録件数 累計件数
日本語版 国内製品開発者 4 172
JVN 355 6,077
NVD 1,260 51,845
1,619 58,094
英語版 国内製品開発者 4 172
JVN 52 1,165
56 1,337

図1-1. JVN iPediaの登録件数の四半期別推移

1-2. 【注目情報1】ランサムウェアで悪用される製品の脆弱性について

~悪用された脆弱性は広く普及している製品の旧バージョン、ソフトウェアの最新化が重要~

 IPAでは2016年1月にランサムウェアに対する注意を呼びかけました(*4)。これはメールの添付ファイルを開いたり、ウェブサイトを閲覧したりすることで感染するランサムウェアに関するIPAへの相談が、2015年4月以降相次いだことを受けてのものです。
 JPCERT/CCの注意喚起(*5)やセキュリティブログの情報(*6)(*7)によると、Microsoft製品の脆弱性や Adobe Flash Playerの脆弱性が攻撃に利用されていると報告されており、これらの脆弱性対策情報は表1-2に示すように全てJVN iPediaで公開しているものでした。

表1-2.JVN iPediaでの公表日と攻撃確認日
No ID(CVE) タイトル JVN iPedia公表日 攻撃確認日
1 JVNDB-2014-005401
(CVE-2014-6332)
複数の Microsoft 製品の OLE における任意のコードを実行される脆弱性 2014/11/11 2015/5/6
2 JVNDB-2015-001418
(CVE-2015-0313)
Adobe Flash Player における任意のコードを実行される脆弱性 2015/2/5 2015/5/6
3 JVNDB-2015-005288
(CVE-2015-7645)
Adobe Flash Player における任意のコードを実行される脆弱性 2015/10/14 2015/12/1

 ランサムウェアで悪用された脆弱性の修正パッチや脆弱性対策情報は、いずれも攻撃が確認されるよりも前に、既に提供されていました。利用者がアップデートを確実に実施していれば、感染被害を免れることができたといえます。
 一方、IPAが2015年12月24日に公開した「2015年度情報セキュリティの脅威に対する意識調査」(*8)によると、Adobe Flash Playerの利用者のアップデート未実施の割合は、18.2%でした。また「Windowsアップデート等のセキュリティパッチの更新」を実施していない割合は55.9%でした。 さらに、アップデートしない理由に着目をすると「書かれている内容がわからない」といった回答がセキュリティパッチ未更新者のうち3割以上を占めていました。
 ソフトウェア利用者はバージョンを最新に保ち、自身が利用しているソフトウェアを最新の状態に維持することが求められます。しかし前述の結果から、表示されるメッセージの意味がわからないことが理由で、セキュリティ対策を実施していないパソコン利用者が一定割合存在することがわかります。IPAでは使用しているソフトウェアが最新であるかを確認するツール“MyJVNバージョンチェッカ(*9)”を無償で公開しています。セキュリティソフトのほか、このツールの使用を推奨します。

1-3. 【注目情報2】Windows SQL Server 2005の公式サポート終了について

~当該ソフトの脆弱性の85%は最も深刻度の高い「レベルIII 危険」~

 日本マイクロソフトが提供している「Windows SQL Server 2005」の公式サポートが2016年4月12日に終了します。そのままサーバの使用を継続していると、脆弱性を悪用した攻撃が発生した場合、修正プログラムが提供されないため、脆弱性を解消できず、ウイルス感染やシステムの乗っ取りなど様々な被害を受ける可能性があります。
 日本マイクロソフトによれば当該ソフトウェアは2015年12月2日時点でおよそ12万台が稼動しており、このうち7万台は会計ソフトなどの業務パッケージソフトにWindows SQL Server 2005が無償版として組み込まれ利用されています(*10)。業務パッケージソフトは組織内の人事や販売、財務会計など業務管理に活用され、情報が集約されています。万が一に備え、安全な環境での運用が求められます。
 JVN iPediaにはこれまでに公開したWindows SQL Server 2005に関する脆弱性対策情報が20件登録されています。このうち深刻度が最も高い「レベルIII 危険」と分類された脆弱性対策情報は85%(17件)で、JVN iPediaに登録された全ての脆弱性対策情報における「レベルIII 危険」の割合40.3%とは倍以上の開きがあります(図1-3)。

システムの運用・管理者はサポートが終了する前に、移行計画を策定するなどして、対処してください。

脚注

(*1) Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
https://jvn.jp/

(*2) National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
http://www.nist.gov/

(*3) National Vulnerability Database。NISTが運営する脆弱性データベース。
http://nvd.nist.gov/home.cfm

(*4) ランサムウェア感染被害に備えて定期的なバックアップを
https://www.ipa.go.jp/security/txt/2016/01outline.html

(*5) ランサムウェア感染に関する注意喚起
https://www.jpcert.or.jp/at/2015/at150015.html

(*6) 「vvvウイルス」の正体とは? ランサムウェア「CrypTesla」の流入は限定的
http://blog.trendmicro.co.jp/archives/12632

(*7) 英有名ニュースサイトのブログからランサムウェア「CrypTesla」が拡散
http://blog.trendmicro.co.jp/archives/12649

(*8) 「2015年度情報セキュリティに対する意識調査」報告書について
https://www.ipa.go.jp/security/fy27/reports/ishiki/index.html P73、p75

(*9)「MyJVNバージョンチェッカ」
http://jvndb.jvn.jp/apis/myjvn/index.html

(*10) SQL Server 2005サポート終了で移行支援策--継続利用にはセキュリティリスク
http://japan.zdnet.com/article/35074408/

資料のダウンロード

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター 竹村/斉藤
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: