HOME情報セキュリティ脆弱性対策情報脆弱性対策情報データベースJVN iPediaの登録状況 [2016年第2四半期(4月~6月)]

本文を印刷する

情報セキュリティ

脆弱性対策情報データベースJVN iPediaの登録状況 [2016年第2四半期(4月~6月)]

独立行政法人情報処理推進機構
最終更新日:2016年7月26日

  • 以下は、「脆弱性対策情報データベース JVN iPediaに関する活動報告レポート」1章の抜粋です。2章以降は 活動報告レポート(PDF) をご参照ください。

1. 2016年第2四半期 脆弱性対策情報データベース JVN iPediaの登録状況

 脆弱性対策情報データベース「JVN iPedia( http://jvndb.jvn.jp/ )」は、ソフトウェア製品に関する脆弱性対策情報を2007年4月25日から日本語で公開しています。システム管理者が迅速に脆弱性対策を行えるよう、1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情報ポータルサイトJVN(*1)で公表した脆弱性対策情報、3)米国国立標準技術研究所NIST(*2)の脆弱性データベース「NVD(*3)」が公開した脆弱性対策情報を集約、翻訳しています。

1-1. 脆弱性対策情報の登録状況

~登録件数の累計が60,000件を超過~

 2016年第2四半期(2016年4月1日から6月30日まで)にJVN iPedia日本語版へ登録した脆弱性対策情報は下表の通りとなり、脆弱性対策情報の登録件数は、累計61,309件でした(表1-1、図1-1)。

 JVN iPedia英語版へ登録した脆弱性対策情報も下表の通り、累計で1,458件になりました。

表1-1.2016年第2四半期の登録件数
  情報の収集元 登録件数 累計件数
日本語版 国内製品開発者 2 176
JVN 206 6,498
NVD 1,554 54,635
1,762 61,309
英語版 国内製品開発者 2 176
JVN 84 1,282
86 1,458

図1-1. JVN iPediaの登録件数の四半期別推移

1-2. 【注目情報】Apache Strutsの脆弱性対策情報について

~今四半期に登録したApache Strutsの脆弱性15件のうち2件で危険な攻撃コードを確認~

 2016年第2四半期(4月~6月)は、Apache Struts(*4)の脆弱性が複数公表されています。この Apache Struts の脆弱性の一部については、遠隔の第三者から任意のコードを実行される、といった危険な攻撃コードが脆弱性公表の時点で既に公開されており、IPA では緊急対策情報として4 月と6 月に注意を呼びかけています(*5)(*6)
 2016年第2四半期(4月~6月)にJVN iPedia へ登録した Apache Struts の脆弱性対策情報を確認すると、緊急対策情報で発信した情報(JVNDB-2016-002326、JVNDB-2016-000110)も含めて 15 件を登録しています(表1-2)。登録している脆弱性対策情報の「影響を受けるシステム」に着目をすると、Apache Struts 1 が影響を受ける脆弱性対策情報は 2 件、Apache Struts 2 が影響を受ける脆弱性対策情報は 13 件登録しています。

表1-2 Apache Strutsに関する脆弱性対策情報(2016年4月~6月)

表1-2 Apache Strutsに関する脆弱性対策情報(2016年4月~6月)

 Apache Struts1 は、2013年4月に公式サポートが終了となっており、通常であれば脆弱性対策情報や修正バージョンは公表されません。そのため Apache Struts 2 が影響を受ける脆弱性対策情報において、Apache Struts 1 への脆弱性の影響確認は行われない可能性があります。このため、脆弱性対策がされていない Apache Struts 1 を継続使用することにより、遠隔の第三者によりサービス運用妨害(DoS 攻撃)を受けたり、任意のコードを実行されたりするなどの深刻な被害を受ける可能性が想定されます。
 企業のフレームワークなどには、サポートが終了しているApache Struts 1 を組み込んだまま運用しているところもあります。Apache Struts 1 を利用している企業のシステム管理者は、ベンダーなどがサポートを行っている Apache Struts 2 や他のフレームワークなどに早急に切り替えることを検討する必要があります。また、サポートが継続しているフレームワークを利用している場合には、日々の脆弱性対策情報の迅速な把握や最新バージョンへの更新などの対策実施を行うことが重要です。

脚注

(*1) Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
https://jvn.jp/

(*2) National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
http://www.nist.gov/

(*3) National Vulnerability Database。NISTが運営する脆弱性データベース。
http://nvd.nist.gov/home.cfm

(*4) java を用いたウェブアプリケーションなどを開発するためのオープンソースのソフトウェアフレームワーク

(*5) Apache Struts2 の脆弱性対策について(CVE-2016-3081)(S2-032)
https://www.ipa.go.jp/security/ciadr/vul/20160427-struts.html

(*6) 「Apache Struts」において任意のコードを実行可能な脆弱性対策について(JVN#07710476)
https://www.ipa.go.jp/security/ciadr/vul/20160620-jvn.html

資料のダウンロード

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター 竹村/斉藤
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: