1. 2018年第1四半期 脆弱性対策情報データベース JVN iPediaの登録状況
脆弱性対策情報データベース「JVN iPedia( https://jvndb.jvn.jp/ )」は、ソフトウェア製品に関する脆弱性対策情報を2007年4月25日から日本語で公開しています。システム管理者が迅速に脆弱性対策を行えるよう、1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情報ポータルサイトJVN(*1)で公表した脆弱性対策情報、3)米国国立標準技術研究所NIST(*2)の脆弱性データベース「NVD(*3)」が公開した脆弱性対策情報を集約、翻訳しています。
1-1. 脆弱性対策情報の登録状況
~脆弱性対策情報の登録件数の累計は81,523件~
2018年第1四半期(2018年1月1日から3月31日まで)にJVN iPedia日本語版へ登録した脆弱性対策情報は下表の通りとなり、脆弱性対策情報の登録件数の累計は、81,523件でした(表1-1、図1-1)。
また、JVN iPedia英語版へ登録した脆弱性対策情報は下表の通り、累計で1,881件になりました。
| 情報の収集元 | 登録件数 | 累計件数 | |
|---|---|---|---|
| 日本語版 | 国内製品開発者 | 2 件 | 198 件 |
| JVN | 89 件 | 7,953件 | |
| NVD | 3,022 件 | 73,372 件 | |
| 計 | 3,113 件 | 81,523 件 | |
| 英語版 | 国内製品開発者 | 4 件 | 198 件 |
| JVN | 41 件 | 1,683 件 | |
| 計 | 45 件 | 1,881 件 |
2. JVN iPediaの登録データ分類
2-1. 脆弱性の種類別件数
図2-1は、2018年第1四半期(1月~3月)にJVN iPediaへ登録した脆弱性対策情報を、共通脆弱性タイプ一覧(CWE)によって分類し、件数を集計したものです。
集計結果は件数が多い順に、CWE-79(クロスサイト・スクリプティング)が414件、CWE-119(バッファエラー)が326件、CWE-20(不適切な入力確認)が326件、CWE-200(情報漏えい)が274件、CWE-89(SQLインジェクション)が255件でした。最も件数の多かったCWE-79(クロスサイト・スクリプティング)は、悪用されると偽のウェブページが表示されたり、情報が漏えいしたりする可能性があります。
製品開発者は、ソフトウェアの企画・設計段階から、脆弱性の低減に努めることが求められます。なお、IPAではそのための資料やツールとして、開発者や運営者がセキュリティを考慮したウェブサイトを作成するための資料「安全なウェブサイトの作り方 (*4)」や、「IPAセキュア・プログラミング講座(*5)」、脆弱性の仕組みを実習形式や演習機能で学ぶことができる脆弱性体験学習ツール「AppGoat(*6)」などを公開しています。
2-2. 脆弱性に関する深刻度別割合
図2-2はJVN iPediaに登録済みの脆弱性対策情報をCVSSv2の値に基づいて深刻度別に分類し、登録年別にその推移を示したものです。
2018年にJVN iPediaに登録した脆弱性対策情報は深刻度別に、レベルIIIが全体の30.6%、レベルIIが57.9%、レベルIが11.5%となっており、情報の漏えいや改ざんされるような危険度が高い脅威であるレベル2以上が88.5%を占めています。
図2-3はJVN iPediaに登録済みの脆弱性対策情報をCVSSv3の値に基づいて深刻度別に分類し、登録年別にその推移を示したものです。
2018年にJVN iPediaに登録した脆弱性対策情報は深刻度別に、「緊急」が全体の17.0%、「重要」が45.1%、「警告」が36.6%、「注意」が1.3%となっております。
既知の脆弱性による脅威を回避するため、製品開発者は常日頃から新たに報告される脆弱性対策情報に注意を払うと共に、脆弱性が解消されている製品へのバージョンアップやアップデートなどを速やかに行ってください。
なお、IPAでは、新たに登録された深刻な脆弱性情報や既知の脆弱性を狙った攻撃に対する情報を即時に入手できるサービス「サイバーセキュリティ注意喚起サービス icat for JSON(*7)」や新たに登録したJVN iPediaの情報を、RSSで公開しています。
2-3. 脆弱性対策情報を公開した製品の種類別件数
図2-4はJVN iPediaに登録済みの脆弱性対策情報を、ソフトウェア製品の種類別に件数を集計し、年次でその推移を示したものです。2018年で最も多い種別はアプリケーションに関する脆弱性対策情報で、2018年の件数全件の約81.0%(2,520件/全3,113件)を占めています。
また2007年以降、重要インフラなどで利用される、産業用制御システムに関する脆弱性対策情報を登録しています。これまでに累計で1,318件を登録しています(図2-5)。
2-4. 脆弱性対策情報の製品別登録状況
表2-1は2018年第1四半期(1月~3月)にJVN iPediaへ脆弱性対策情報の登録件数が多かった製品の上位20件を示したものです。1位のDebian GNU/Linuxの登録件数は117件、4位のLinux Kernel の登録件数は50件と、LinuxのOSに関連する脆弱性が多数公開されています。
JVN iPediaは、表に記載されている製品以外にも幅広い脆弱性対策情報を登録公開しています。製品の利用者や開発者は、自組織などで使用しているソフトウェアの脆弱性対策情報を迅速に入手し、効率的な対策に役立ててください(*8)。
| 順位 | カテゴリ | 製品名(ベンダ名) | 登録件数 |
|---|---|---|---|
| 1 | OS | Debian GNU/Linux (Debian) | 117 |
| 2 | OS | Android (Google) | 104 |
| 3 | 統合業務パッケージ | HPE Intelligent Management Center (ヒューレット・パッカード・エンタープライズ) |
96 |
| 4 | OS | Linux Kernel (Linux) | 50 |
| 5 | ブラウザ | Microsoft Edge (マイクロソフト) | 46 |
| 6 | PDF閲覧 | Foxit Reader (Foxit Software Inc) | 43 |
| 6 | 実行環境 | ChakraCore (マイクロソフト) | 43 |
| 8 | PDF閲覧 | Adobe Reader (アドビシステムズ) | 39 |
| 8 | PDF閲覧・編集 | Adobe Acrobat DC (アドビシステムズ) | 39 |
| 8 | PDF閲覧 | Adobe Acrobat Reader DC (アドビシステムズ) | 39 |
| 8 | PDF閲覧・編集 | Adobe Acrobat (アドビシステムズ) | 39 |
| 12 | ファームウェア | DP300 ファームウェア (Huawei) | 36 |
| 13 | OS | Microsoft Windows 10 (マイクロソフト) | 35 |
| 14 | OS | Microsoft Windows Server バージョン 1709 (マイクロソフト) |
32 |
| 14 | ファームウェア | TE30 ファームウェア (Huawei) | 32 |
| 16 | ファームウェア | RP200 ファームウェア (Huawei) | 31 |
| 16 | 画像処理ソフト | ImageMagick (ImageMagick) | 31 |
| 18 | セキュリティソフト | K7 AntiVirus (K7 Computing) | 29 |
| 18 | OS | Microsoft Windows Server 2016 (マイクロソフト) | 29 |
| 18 | ネットワーク解析 | Wireshark (Wireshark) | 29 |
3. 脆弱性対策情報の活用状況
表3-1は2018年第1四半期(1月~3月)にアクセスの多かったJVN iPediaの脆弱性対策情報の上位20件を示したものです。1位の脆弱性「CPU に対するサイドチャネル攻撃」は影響を受ける製品が多く、ニュースでは「Meltdown (メルトダウン)」「Spectre (スペクター)」などと呼ばれ注目されました。また、4位の「Oracle WebLogic Server」の脆弱性は前四半期の2017年10月に公開された脆弱性でしたが、本四半期において上位にランクインしました。本脆弱性は、2017年12月下旬に脆弱性を悪用する攻撃事例が確認されたことから2018年1月にIPAから緊急対策情報を発信(*9)するなど、本四半期に入っても引き続き注目されました。
| 順位 | ID | タイトル | CVSSv2 基本値 |
CVSSv3 基本値 |
公開日 | アクセス数 |
|---|---|---|---|---|---|---|
| 1 | JVNDB-2018-001001 | CPU に対するサイドチャネル攻撃 | 4.4 | 4.7 | 2018/1/4 | 18,016 |
| 2 | JVNDB-2018-000001 | Lhaplus の ZIP64 形式のファイル展開における検証不備の脆弱性 | 4.3 | 3.3 | 2018/1/11 | 8,171 |
| 3 | JVNDB-2018-000008 | Spring Security と Spring Framework に認証回避の脆弱性 | 5.0 | 5.3 | 2018/2/2 | 7,070 |
| 4 | JVNDB-2017-008734 | Oracle Fusion Middleware の Oracle WebLogic Server における WLS Security に関する脆弱性 | 7.5 | 9.8 | 2017/10/26 | 6,137 |
| 5 | JVNDB-2018-000013 | トレンドマイクロ株式会社製の複数の製品における DLL 読み込みに関する脆弱性 | 6.8 | 7.8 | 2018/2/15 | 6,111 |
| 6 | JVNDB-2018-001570 | Apache Tomcat の複数の脆弱性に対するアップデート | N/A | N/A | 2018/2/26 | 5,286 |
| 7 | JVNDB-2018-000003 | GroupSession におけるオープンリダイレクトの脆弱性 | 2.6 | 4.7 | 2018/1/19 | 4,735 |
| 7 | JVNDB-2018-000002 | Android アプリ「Nootka」における OS コマンドインジェクションの脆弱性 | 5.1 | 7.5 | 2018/1/19 | 4,735 |
| 9 | JVNDB-2018-001389 | Hitachi Device Manager における XXE 脆弱性 | 7.8 | 7.4 | 2018/2/14 | 4,676 |
| 10 | JVNDB-2018-000009 | 安心ネットセキュリティ (Windows版) のインストーラにおける DLL 読み込みに関する脆弱性 | 6.8 | 7.8 | 2018/2/6 | 4,475 |
| 11 | JVNDB-2018-001388 | Hitachi Command Suite 製品における複数の脆弱性 | 5.8 | 6.1 | 2018/2/14 | 4,444 |
| 12 | JVNDB-2017-000247 | Qt for Android における環境変数を改ざん可能な脆弱性 | 5.1 | 5.3 | 2017/12/11 | 4,437 |
| 13 | JVNDB-2017-000241 | ワイヤレスモバイルストレージ「デジ蔵 ShAirDisk」PTW-WMS1 における複数の脆弱性 | 10.0 | 9.8 | 2017/11/30 | 4,415 |
| 14 | JVNDB-2018-000014 | 「フレッツ v4/v6アドレス選択ツール」のアプリケーションおよびアプリケーションを含む自己解凍書庫における DLL 読み込みに関する脆弱性 | 6.8 | 7.8 | 2018/2/13 | 4,398 |
| 15 | JVNDB-2017-000238 | ロボット家電 COCOROBO におけるセッション管理不備の脆弱性 | 4.3 | 4.6 | 2017/11/16 | 4,384 |
| 16 | JVNDB-2018-000017 | WXR-1900DHP2 における複数の脆弱性 | 8.3 | 8.8 | 2018/2/26 | 4,372 |
| 17 | JVNDB-2017-000244 | バッファロー製の複数の有線ブロードバンドルータに複数の脆弱性 | 4.3 | 6.1 | 2017/12/1 | 4,336 |
| 18 | JVNDB-2018-000004 | 「フレッツ・ウイルスクリア 申込・設定ツール」および「フレッツ・ウイルスクリアv6 申込・設定ツール」のインストーラにおける DLL 読み込みに関する脆弱性 | 6.8 | 7.8 | 2018/1/22 | 4,322 |
| 19 | JVNDB-2017-000245 | Windows 版 公的個人認証サービス 利用者クライアントソフトのインストーラにおける DLL 読み込みに関する脆弱性 | 6.8 | 7.8 | 2017/12/6 | 4,297 |
| 20 | JVNDB-2017-009884 | QND Advance/Standard におけるディレクトリトラバーサルの脆弱性 | 9.4 | 9.1 | 2017/11/28 | 4,277 |
表3-2は国内の製品開発者から収集した脆弱性対策情報でアクセスの多かった上位5件を示しています。
| 順位 | ID | タイトル | CVSSv2 基本値 |
CVSSv3 基本値 |
公開日 | アクセス数 |
|---|---|---|---|---|---|---|
| 1 | JVNDB-2017-010236 | 富士通 NetCOBOL におけるクロスサイトスクリプティングの脆弱性 | 3.5 | 4.8 | 2017/12/8 | 3,987 |
| 2 | JVNDB-2017-004687 | 富士通 Interstage List Works におけるクロスサイトスクリプティングの脆弱性 | 4.3 | 6.1 | 2017/7/5 | 3,785 |
| 3 | JVNDB-2017-010275 | JP1/Service Support および JP1/Integrated Man-agement - Service Support におけるクロスサイトスクリプティングの脆弱性 | 3.5 | 4.1 | 2017/12/11 | 3,402 |
| 4 | JVNDB-2017-010043 | JP1/Operations Analytics におけるクロスサイトスクリプティングの脆弱性 | 3.5 | 4.1 | 2017/12/1 | 3,294 |
| 5 | JVNDB-2017-008411 | Hitachi Command Suite 製品における XXE 脆弱性 | 7.5 | 8.1 | 2017/10/18 | 3,247 |
注1) CVSSv2基本値の深刻度による色分け
| CVSS基本値 = 0.0~3.9 深刻度=レベルI(注意) |
CVSS基本値 = 4.0~6.9 深刻度=レベルII(警告) |
CVSS基本値 = 7.0~10.0 深刻度=レベルIII(危険) |
