HOME情報セキュリティ情報セキュリティ対策脆弱性対策ソフトウェア等の脆弱性関連情報に関する届出状況2007年第2四半期

本文を印刷する

情報セキュリティ

ソフトウェア等の脆弱性関連情報に関する届出状況2007年第2四半期

掲載日 2007年7月19日

独立行政法人 情報処理推進機構
セキュリティセンター

 独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原 武平太)および有限責任中間法人JPCERTコーディネーションセンター(略称:JPCERT/CC、代表理事:歌代 和正)は、2007年第2四半期(4月~6月)の脆弱性関連情報の届出状況(*1)をまとめました。

■届出状況の詳細(本文および別紙)は次のPDFファイルをご参照ください。

■届出状況の本文抜粋

今四半期の呼びかけ:

「ソフトウェア製品開発者は、
利用者に的確な脆弱性の対策情報を公表して下さい!」

―「ソフトウェア製品開発者による脆弱性対策情報の公表マニュアル(*2)を参考に―

1. 2007年第2四半期の届出状況

 表1に示すように、2007年4月1日から6月30日までのIPAへの脆弱性関連情報の届出件数は、ソフトウェア製品に関するもの46件、ウェブアプリケーション(ウェブサイト)に関するもの95件、合計141件でした。

 届出受付開始(2004年7月8日)からの累計は、ソフトウェア製品に関するもの501件、ウェブサイトに関するもの940件、合計1,441件で、ウェブサイトに関する届出が全体の3分の2を占めています。

表1.2007年第2四半期の届出件数

分類 届出件数 累計件数
ソフトウェア製品 46 501
ウェブサイト 95 940
141 1441

(1)四半期毎の届出状況の推移

 図1(*3)に示すように、届出受付開始(2004年7月8日)から各四半期末時点までの就業日1日あたりの届出件数が増加してきており、2007年第2四半期末で1.98件となりました。近年、着実に増加しており、就業日1日あたり2件に近づいています。

・就業日1日あたりの届出件数(届出受付開始から各四半期末時点)

2005/1Q 2005/2Q 2005/3Q 2005/4Q 2006/1Q 2006/2Q 2006/3Q 2006/4Q 2007/1Q 2007/2Q
1.45 1.43 1.58 1.59 1.61 1.70 1.75 1.92 1.95 1.98

図1.脆弱性関連情報の四半期別届出件数の推移

2.ソフトウェア製品の脆弱性の処理状況

 表2に示すように、2007年第2四半期にソフトウェア製品の脆弱性の修正が完了しJVN(*4)で対策情報を公表したものは23件(届出受付開始からの累計193件)、製品開発者が脆弱性ではないと判断したものは0件(累計29件)、告示で定める届出の対象に該当せず不受理としたものは3件(累計74件)です。これらの取扱いを終了したものの合計は26件(累計296件)です。

表2.ソフトウェア製品の脆弱性の処理件数

分類 件数 累計件数
公表済み 23 193
脆弱性ではない 0 29
不受理 3 74
26 296

(1)「Java Web Start」の脆弱性を注意喚起しました(*5)

 Javaアプリケーションをウェブ経由でダウンロード及び実行するソフトである「Java Web Start」には、本来許可されていないシステムクラスが実行される脆弱性があり、悪意あるコードが利用者のコンピュータで実行される可能性がありました。

 「Java Web Start」が同梱されている、JRE(Java Runtime Environment)はJavaアプリケーションの実行環境として広く使われています。

 この脆弱性対策を行うにあたり、使用中のJREを異なるバージョンに更新した結果、一部のJavaアプリケーションの動作に支障をきたす事例があったため、JREを同一バージョンのupdate版に更新する方法も合わせて、5月8日に注意喚起しました。

(2)APOP方式の脆弱性を注意喚起しました(*6)

 APOP(エーポップ、Authenticated Post Office Protocol)は、メールの受信に利用される認証方式の一つで、パスワードを盗聴から守るために使用されます。

 APOP方式には、プロトコル上の問題があり、利用者がなりすましたメールサーバに誘導された場合、メールの受信に利用するパスワードが解読され、漏えいする可能性がありました。

 このAPOP方式の問題はMD5(エムディーファイブ、Message Digest 5)ハッシュ方式の問題がもととなっており、今回の問題が発見されたことは暗号学の国際会議で既に発表されているため、研究者の間で問題点の所在は周知のものとなっています。

 しかし、プロトコル上の問題であるため解決に時間がかかります。そのため、メールクライアントソフトの利用者への影響を考慮し、4月19日に注意喚起しました。

(3)共通脆弱性評価システムCVSSの新バージョンの概説資料を公開しました

 共通脆弱性評価システムCVSS(*7)は、情報システムの脆弱性に対するオープンで包括的、汎用的な評価手法の確立と普及を目指し、米国家インフラストラクチャ諮問委員会(NIAC:National Infrastructure Advisory Council)のプロジェクトで2004年10月に原案が作成されました。

 その後、CVSSの管理母体としてCSIRT(*8)の国際的な連合体であるFIRST(*9)が選ばれ、FIRSTのCVSS-SIG(Special Interest Group)で適用推進や仕様改善が行われています。現在、CVSSは30を超える組織で採用されています。

 スペインで開催されたFIRST年会議で6月20日にCVSSの新バージョンであるCVSS v2が公表されたのに合わせ、その概説資料を公開しました。

 CVSS基本値の評価結果を公表している脆弱性対策情報データベースJVN iPediaや、脆弱性関連情報の調査結果は、今後、CVSS v2に順次対応していきます。

(4)望ましい脆弱性対策情報の公表マニュアルをまとめました

 図2にJVNで公表した脆弱性対策情報の四半期別の公表件数を示します。届出受付開始から2007年第2四半期までに、国内発見者からIPAに届出があったもの累計193件の他に、海外のCSIRTから連絡を受けたもの累計261件を加え、合計454件の脆弱性対策情報をJVNで公表しました。

 脆弱性対策情報を公表する際、ソフトウェア製品開発者は、利用者に的確な情報を提供することが望まれます。特に、既にリリースした製品に脆弱性が存在することを知りながら、脆弱性対策情報を公表せず、被害が生ずる可能性を隠したり、不十分な内容の公表にとどめたり、虚偽の内容を公表することは、利用者の情報資産や社会活動を危険にさらす結果を招きかねません。

 このような状況から、利用者に必要な情報が的確に届けられることを目的に、ソフトウェア製品開発者が行うべき脆弱性対策情報の望ましい公表手順について、具体的に公表すべき項目と公表例、脆弱性対策情報への誘導方法を記載した「ソフトウェア製品開発者による脆弱性対策情報の公表マニュアル」を5月30日に公表しました。

 製品開発者は、本資料を参考にご対応くださいますようお願いします。

図2.JVNの脆弱性対策情報の四半期別公表件数の推移

(5)JVNのリニューアルを行い、見やすさの向上とコンテンツの充実を図りました

 JVNの利用者や製品開発者からいただいたご意見に基づき、JVNの見やすさの向上とコンテンツの充実を図りました。

 また、新たに、国内で利用されているソフトウェア等の製品を対象とした脆弱性対策情報データベースJVN iPedia ( http://jvndb.jvn.jp/ )を4月25日に公開しました。

 JVN iPediaは、JVNで脆弱性対策情報を公表した約450件に加えて、海外の米国NIST(National Institute of Standards and Technology)が運営するNVD(National Vulnerability Database)から日本向けの情報を収集・翻訳し、現在、約3900件の脆弱性対策情報を蓄積しています。

 目的の脆弱性対策情報を容易に探すための検索機能も用意しておりますので、ご活用下さい。

3.ウェブサイトの脆弱性の処理状況

 表3に示すように、2007年第2四半期にウェブサイトの脆弱性の修正が完了したものは86件(届出受付開始からの累計629件)、ウェブサイト運営者が脆弱性ではないと判断したものは9件(累計87件)、ウェブサイト運営者と連絡が不可能なものが-6件(*10)(累計7件)、告示で定める届出の対象に該当せず不受理としたものは7件(累計69件)です。これらの取扱いを終了したものの合計は96件(累計792件)です。

表3.ウェブサイトの脆弱性の処理件数

分類 件数 累計件数
修正完了 86 629
脆弱性ではない 9 87
連絡不可能 -6 7
不受理 7 69
96 792

(1)ウェブサイトの連絡先窓口の明確化をお願いします

 IPAでは、ウェブサイトの脆弱性の届出を受付け、ウェブサイトの運営者に連絡を取り、届出の内容を伝え、脆弱性がある場合は対策をお願いしています。

 ウェブサイトへ連絡する際、連絡先窓口(メールアドレスや電話番号)をウェブサイトから探しだしますが、見つけにくい場合や見当たらない場合があります。2006年1月から2007年6月末までの届出506件のうち、不受理44件を除いた462件のウェブサイトに連絡を取りましたが、約2割は連絡先窓口が見つけにくいか、もしくは見当たらないウェブサイトでした(図3)。また、連絡先窓口に関して、ウェブサイトのうち約3割はウェブサイトが提供しているサービスに関する連絡先窓口でした(図4)。

 サービスに関する連絡先窓口への脆弱性情報の連絡は、比較的、返信が無いことが多い傾向にあります。逆にウェブサイトに関する連絡先窓口がある場合は、返信が早い傾向があります。

  ウェブサイト運営者は、ウェブサイトに問題が発生する事も想定し、ウェブサイトに対する連絡先窓口をウェブサイトに明記お願いします。

図3.ウェブサイト連絡先窓口のわかりやすさ。図4.ウェブサイト連絡先窓口の種類

(2)ウェブサイトの問題を解決する体制の構築をお願いします

 IPAでは、ウェブサイトへ脆弱性情報を伝える場合、最初にウェブサイトの連絡先窓口へ対応者の確認(脆弱性の届出があったので返信を頂きたい旨の連絡)を行います。その後、脆弱性の詳細情報を伝えます。

 最初の対応者の確認で連絡先窓口から返信が無い場合は、平均5営業日毎に再メールや電話などで連絡を試みます。2006年1月から2007年6月末までの届出のうち修正が完了した233件について、1回目の連絡で返信があった場合と、2回以上の連絡が必要であった場合の、ウェブサイトへ脆弱性の詳細情報を伝えてから修正が完了するまでの修正日数の関係を図5に示します。

 1回の連絡で返信を頂けたウェブサイトの約90%は90日以内に修正が完了しています。一方、2回以上の連絡が必要だった場合は、90日以内の修正が80%になるなど、修正が長期化する傾向がやや見られます。

 ウェブサイト運営者は、ウェブサイトに問題が発生する事を想定し、早期に問題に対応し、解決する体制の構築をお願いします。

図5.IPAからウェブサイトへの連絡回数と修正日数の関係

『脚注』

(*1)ソフトウェア等の脆弱性関連情報に関する届出制度:経済産業省告示に基づき、2004年7月より開始しました。IPAは届出受付・分析、JPCERT/CCは国内の製品開発者などの関連組織との調整を行っています。

(*2)「ソフトウェア製品開発者による脆弱性対策情報の公表マニュアル」を2007年5月より公開し、情報セキュリティ早期警戒パートナーシップガイドラインの一部としました。
http://www.ipa.go.jp/security/ciadr/partnership_guide.html

(*3)2007年第1四半期に公表した四半期別届出件数の推移のグラフから、2007/1Qにウェブサイトとして届けられた1件を2つの問題として件数を追加するなどの変更をしました。

(*4)Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。国内製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/

(*5)本脆弱性の深刻度=レベル3(危険)、CVSS基本値=7.0

(*6)本脆弱性の深刻度=レベル2(警告)、CVSS基本値=4.0

(*7)Common Vulnerability Scoring System。
http://www.ipa.go.jp/security/vuln/SeverityCVSS2.html

(*8)Computer Security Incident Response Team。コンピュータセキュリティに関するインシデント(事故)への対応や調整、サポートをするチームのことです。

(*9)Forum of Incident Response and Security Teams。http://www.first.org/

(*10)当該ページが削除されたことを確認したものが6件あり、マイナス計上しました。

お問い合わせ先

独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)

TEL:03-5978-7527 FAX:03-5978-7518
E-mail:電話番号:03-5978-7501までお問い合わせください。