HOME情報セキュリティ脆弱性対策情報脆弱性対策情報データベースJVN iPediaの登録状況 [2017年第1四半期(1月~3月)]

本文を印刷する

情報セキュリティ

脆弱性対策情報データベースJVN iPediaの登録状況 [2017年第1四半期(1月~3月)]

独立行政法人情報処理推進機構
最終更新日:2017年4月25日

  • 以下は、「脆弱性対策情報データベース JVN iPediaに関する活動報告レポート」1章の抜粋です。2章以降は 活動報告レポート(PDF) をご参照ください。

1. 2017年第1四半期 脆弱性対策情報データベース JVN iPediaの登録状況

 脆弱性対策情報データベース「JVN iPedia( http://jvndb.jvn.jp/ )」は、ソフトウェア製品に関する脆弱性対策情報を2007年4月25日から日本語で公開しているものです。システム管理者が迅速に脆弱性対策を行えるよう、1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情報ポータルサイトJVN(*1)で公表した脆弱性対策情報、3)米国国立標準技術研究所NIST(*2)の脆弱性データベース「NVD(*3)」が公開した脆弱性対策情報を集約、翻訳しています。

1-1. 脆弱性対策情報の登録状況

~脆弱性対策情報の登録件数の累計は67,485件~

 2017年第1四半期(2017年1月1日から3月31日まで)にJVN iPedia日本語版へ登録した脆弱性対策情報は下表の通りとなり、脆弱性対策情報の登録件数は、累計67,485件でした(表1-1、図1-1)。登録件数の内訳に注目すると今四半期はNVDが収集元の登録件数が2,599件となっており、2016年第4四半期の1,453件と比較すると1,000件以上、増加しています。NVDの公開件数が前四半期より同等件数増加していることがその要因です。
 また、JVN iPedia英語版へ登録した脆弱性対策情報は下表の通り、累計で1,636件になりました。

表1-1.2017年第1四半期の登録件数
  情報の収集元 登録件数 累計件数
日本語版 国内製品開発者 1 180
JVN 267 7,160
NVD 2,599 60,145
2,867 67,485
英語版 国内製品開発者 1 180
JVN 47 1,456
48 1,636

図1-1. JVN iPediaの登録件数の四半期別推移

1-2. 【注目情報1】Apache Struts2の脆弱性対策情報について

~今四半期はCVSSv2が10.0の脆弱性が1件、2016年度は16件中3件が10.0の脆弱性~

 2017年3月にApache Struts2(*4)の脆弱性対策情報(S2-045)が公開されました。本脆弱性を悪用された場合、遠隔の第三者によって、サーバ上で任意のコードを実行される可能性がありました。本脆弱性の攻撃コードを用いたと思われる通信や被害が発生したことから、IPAでは緊急対策情報を発信しています(*5)。その後、個人情報が流出する被害も確認され(*6)、本脆弱性は注目を集めました。

 表1-2は2016年度にJVN iPediaへ登録したApache Struts2の脆弱性対策情報です。2016年度は計16件登録しており、その内のJVNDB-2017-001621は上述した脆弱性です。CVSSv2基本値(脆弱性の深刻度を評価するための値)は10.0であり、「危険(CVSSv2基本値=7.0~10.0)」に分類された中で、最も深刻度が高い脆弱性でした。2016年度は、CVSSv2基本値10.0の脆弱性として、注目されたJVNDB-2017-001621以外にも2件、計3件登録しています。2017年度も継続してこのような深刻な脆弱性が不定期に公開される可能性があります。

ウェブサイトはインターネット上に公開するといつでもどこからでもアクセスが可能です。そのため、Apache Struts2のように広く使われるソフトウェアフレームワークの脆弱性が公開された場合、それを使って構築されたウェブサイトは、攻撃者に狙われやすく、情報漏えい等の被害を受ける可能性があります。システムの運用・管理者は自組織のシステムで利用しているソフトウェアフレームワークについて、ニュースサイトやベンダサイト、脆弱性情報を収集しているウェブサイト等(*7)で情報収集を行うことが大切です。そして脆弱性が公開された場合には、迅速に対応を行うことで脆弱性への攻撃を防ぐことが可能です。

1-3. 【注目情報2】WordPressの脆弱性対策情報について

~今四半期のWordPressの登録件数は16件、直近3年間の推移は増加傾向~

 2017年2月にCMSであるWordPressの脆弱性が公開されました。本脆弱性を悪用された場合、遠隔の第三者にサーバ上でコンテンツを改ざんされる可能性があり、攻撃コードが確認されたためIPAでは緊急対策情報を発信しています(*8)。さらに本脆弱性の公開後、攻撃コードの入手が容易なことから6万件以上のウェブサイトが改ざんされました(*9)。改ざんの被害を受けたのはいずれもバージョンの更新を行っていないウェブサイトでした。

 図1-3は2014年4月から2017年3月までの直近3年間にJVN iPediaに登録したWordPressの脆弱性対策情報を四半期別で集計したグラフです。3年間に計70件を登録しており、2017年第1四半期の件数に着目すると、16件登録しています。また、直近3年間の推移を見ると、件数が減少している時期はあるものの、増加傾向であることが見て取れます。そのため、今後も脆弱性の公開が増加していく可能性があります。

 WordPressの脆弱性を悪用された場合、ウェブサイトを改ざんされ、任意のスクリプトやHTMLを挿入される可能性があります。また、改ざんされた結果、ウィルスの拡散に悪用され、加害者になってしまうとも限りません。ウェブサイト運営者は、WordPressやWordPressに使用しているプラグインの利用の有無について確認し、利用している場合は、それらの製品バージョンについて把握する必要があります。また、ベンダーよりアップデート情報が公開された場合には、すぐに最新バージョンの適用を実施してください。

[注目情報1]で紹介したApache Struts2、[注目情報2]で紹介したWordPressは、両製品ともウェブサイトに関する製品です。今四半期の状況を見ると、ウェブサイトに関する脆弱性の攻撃コードが確認されると、被害が拡大する傾向が見て取れます。
 IPAでは深刻な脆弱性攻撃の発生に対して、緊急対策情報を公開しており、その情報をいち早く受け取れる「icat for JSON(*10)」というサービスを提供しています。このサービスのご活用も是非ご検討ください。

脚注

(*1) Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
https://jvn.jp/別ウィンドウで開く

(*2) National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
https://www.nist.gov/別ウィンドウで開く

(*3) National Vulnerability Database。NISTが運営する脆弱性データベース。
https://nvd.nist.gov/home別ウィンドウで開く

(*4)java を用いたウェブアプリケーションなどを開発するためのオープンソースのソフトウェアフレームワーク

(*5)更新:Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045)(S2-046)
https://www.ipa.go.jp/security/ciadr/vul/20170308-struts.html

(*6)事務委託先であるGMOペイメントゲートウェイ株式会社のシステムへの不正アクセス及び個人情報流出のおそれについて
http://www.jhf.go.jp/topics/topics_20170310_im.html別ウィンドウで開く

(*7)Apache Struts2 の脆弱性対策情報一覧
https://www.ipa.go.jp/security/announce/struts2_list.html

(*8)WordPress の脆弱性対策について
https://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html

(*9)WordPressの脆弱性突く攻撃が激増、6万以上のWebサイトで改ざん被害
http://www.itmedia.co.jp/enterprise/articles/1702/09/news064.html別ウィンドウで開く

(*10) IPAから発信する重要なセキュリティ情報をリアルタイムに配信するサービスで、1000組織以上が活用しています。
https://www.ipa.go.jp/security/vuln/icat.html

資料のダウンロード

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター 竹村/亀山
E-mail: