HOME情報セキュリティ脆弱性対策情報脆弱性対策情報データベースJVN iPediaの登録状況 [2016年第1四半期(1月~3月)]

本文を印刷する

情報セキュリティ

脆弱性対策情報データベースJVN iPediaの登録状況 [2016年第1四半期(1月~3月)]

独立行政法人情報処理推進機構
最終更新日:2016年4月26日

  • 以下は、「脆弱性対策情報データベース JVN iPediaに関する活動報告レポート」1章の抜粋です。2章以降は 活動報告レポート(PDF) をご参照ください。

1. 2016年第1四半期 脆弱性対策情報データベース JVN iPediaの登録状況

 脆弱性対策情報データベース「JVN iPedia( http://jvndb.jvn.jp/ )」は、ソフトウェア製品に関する脆弱性対策情報を2007年4月25日から日本語で公開しています。システム管理者が迅速に脆弱性対策を行えるよう、1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情報ポータルサイトJVN(*1)で公表した脆弱性対策情報、3)米国国立標準技術研究所NIST(*2)の脆弱性データベース「NVD(*3)」が公開した脆弱性対策情報を集約、翻訳しています。

1-1. 脆弱性対策情報の登録状況

~脆弱性対策情報の登録件数の累計は59,547件~

 2016年第1四半期(2016年1月1日から3月31日まで)にJVN iPedia日本語版へ登録した脆弱性対策情報は下表の通りとなり、脆弱性対策情報の登録件数は、累計59,547件でした(表1-1、図1-1)。

 JVN iPedia英語版へ登録した脆弱性対策情報も下表の通り、累計で1,372件になりました。

表1-1.2016年第1四半期の登録件数
  情報の収集元 登録件数 累計件数
日本語版 国内製品開発者 2 174
JVN 215 6,292
NVD 1,236 53,081
1,453 59,547
英語版 国内製品開発者 2 174
JVN 33 1,198
35 1,372

図1-1. JVN iPediaの登録件数の四半期別推移

1-2. 【注目情報】今四半期に公開したOpenSSLの脆弱性対策情報について

~脆弱性対策情報11件の内4件が最も深刻度の高い「レベルIII 危険」~

 2016年3月に暗号通信を解読される「DROWN」と呼ばれる脆弱性(*4)が公表されました。これは通信路暗号に使われるSSLv2のプロトコルに関する脆弱性で、中間者攻撃によりSSLv2をサポートしているサーバの暗号通信を解読される可能性があります。また、TLS通信であってもSSLv2の通信と同一の秘密鍵を使用している場合、通信内容を解読される可能性があります。公表された情報によると、HTTPSサーバ全体の33%に影響があるとされており、そのことから広く一般にも注目されました。
 脆弱性の対象となるSSLv2のプロトコルを利用するソフトウェアの一つにサーバやルータなどで広範囲に利用されるOpenSSLがあります。JVN iPediaの2016年1月から2016年3月に登録されたOpenSSLの脆弱性対策情報をみると、DROWNの脆弱性対策情報(*5)を含めて11件が登録されています(表1-2)。
 登録されたOpenSSLの脆弱性対策情報のCVSSv2基本値(脆弱性の深刻度を示す値)に着目すると、深刻度が危険(CVSSv2基本値=7.0~10.0)と分類される脆弱性対策情報が4件登録されており、DROWN以外の脆弱性にも危険な脆弱性が複数存在していることがわかります。これらの脆弱性を悪用されることで、重要な情報が漏えいする、改ざんされる、あるいはサービスを停止されられる、といった深刻な被害を受ける可能性があります。

表1-2 OpenSSLに関する脆弱性対策情報(2016年1月~2016年3月)

表1-2 OpenSSLに関する脆弱性対策情報(2016年1月~2016年3月)

 OpenSSLはファイルや通信の暗号化処理などで多数の製品に広く利用、または組み込まれています。システム管理者や運用者は、脆弱性を悪用する攻撃に対して被害を受けないようにするため、日々最新の情報を収集し、使用しているソフトウェアに脆弱性が確認された場合は対策済みの最新バージョンを利用することが重要となります。なお、製品に組み込まれ意識せずに利用している可能性もあるため、製品ベンダーの提供している製品情報なども確認し、もし組み込まれている場合はその製品も同様の対応が必要です。

脚注

(*1) Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
https://jvn.jp/

(*2) National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
http://www.nist.gov/

(*3) National Vulnerability Database。NISTが運営する脆弱性データベース。
http://nvd.nist.gov/home.cfm

(*4) The DROWN Attack
https://drownattack.com/

(*5) SSLv2 の暗号通信を解読可能な脆弱性 (DROWN 攻撃)
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001554.html

資料のダウンロード

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター 竹村/斉藤
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: