HOME情報セキュリティ情報セキュリティ対策脆弱性対策ソフトウェア等の脆弱性関連情報に関する届出状況2007年第3四半期

本文を印刷する

情報セキュリティ

ソフトウェア等の脆弱性関連情報に関する届出状況2007年第3四半期

掲載日 2007年10月22日

独立行政法人 情報処理推進機構
セキュリティセンター

 独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原 武平太)および有限責任中間法人JPCERTコーディネーションセンター(略称:JPCERT/CC、代表理事:歌代 和正)は、2007年第3四半期(7月~9月)の脆弱性関連情報の届出状況(*1)をまとめました。

■届出状況の詳細(本文および別紙1)は次のPDFファイルをご参照ください。

■届出状況の本文抜粋

今四半期の呼びかけ:

「製品開発者・ウェブサイト運営者は、
脆弱性を攻撃された場合の脅威を認識し、早期に対応して下さい!」

-「知っていますか?脆弱性(ぜいじゃくせい)」(*2) を参考に-


※JPCERT/CCが脆弱性情報を調整する製品開発者の登録者数が累計で200社を突破しました。
※ウェブサイトに関する届出が累計で1,000件を突破しました。

1. 2007年第3四半期の届出状況

 表1に示すように、2007年7月1日から9月30日までのIPAへの脆弱性関連情報の届出件数は、ソフトウェア製品に関するもの49件、ウェブサイト(ウェブアプリケーション)に関するもの103件、合計152件でした。

 届出受付開始(2004年7月8日)からの累計は、ソフトウェア製品に関するもの560件、ウェブサイトに関するもの1,043件、合計1,603件で、ウェブサイトに関する届出が全体の3分の2を占めています。

表1.2007年第3四半期の届出件数

分類 届出件数 累計件数
ソフトウェア製品 49 560
ウェブサイト 103 1,043
152 1,603

(1)四半期毎の届出状況の推移

 図1(*3)に示すように、届出受付開始(2004年7月8日)から各四半期末時点までの就業日1日あたりの届出件数が、近年着実に増加してきています。今四半期で就業日1日あたり2.03件となり、2件を突破しました。また、今四半期はウェブサイトに関する届出が103件と過去最高を記録し、累計で1,000件を突破しました。脆弱性関連情報の届出制度が浸透してきているものと考えています。

・就業日1日あたりの届出件数(届出受付開始から各四半期末時点)

2005/1Q 2Q 3Q 4Q 2006/1Q 2Q 3Q 4Q 2007/1Q 2Q 3Q
1.45 1.43 1.58 1.59 1.61 1.70 1.75 1.92 1.95 1.98 2.03

図1.脆弱性関連情報の四半期別届出件数の推移

2.ソフトウェア製品の脆弱性の処理状況

 表2に示すように、2007年第3四半期にソフトウェア製品の脆弱性の修正が完了しJVN(*4) で対策情報を公表したものは18件(届出受付開始からの累計211件)、製品開発者からの届出のうち製品開発者が個別対応を行ったもの2件(累計12件)、製品開発者が脆弱性ではないと判断したものは0件(累計29件)、告示で定める届出の対象に該当せず不受理としたものは0件(累計74件)です。これらの取扱いを終了したものの合計は20件(累計326件)です。詳細は別紙1のP.6の1章を参照下さい。

表2.ソフトウェア製品の脆弱性の処理件数

分類 件数 累計件数
公表済み 18 211
個別対応 2 12
脆弱性ではない 0 29
不受理 0 74
20 326

 また、この他に、海外のCSIRT(*5)から連絡を受けたもの25件(累計286件)の脆弱性対策情報をJVNで公表しました。これらの、ソフトウェア製品の脆弱性対策情報の四半期別公表件数の推移は図2を参照下さい。

図2.ソフトウェア製品の脆弱性対策情報の四半期別公表件数の推移

(1)「Lhaplus」の脆弱性を注意喚起しました(*6)

 データ圧縮・解凍ソフトウェア「Lhaplus」に、バッファオーバーフローというセキュリティ上の弱点(脆弱性)が存在しました。「Lhaplus」は、lzh形式のファイル圧縮形式に対応しているソフトウェアの一つとして、日本国内で広く利用されています。

 脆弱性による影響が大きいことと、Lhaplusの普及状況より、この影響を受ける利用者が国内に広く存在すると判断し、9月21日に注意喚起を行いました。

(詳細は9月21日付プレスリリースを参照。

(2)「Flash Player」において任意のRefererヘッダ(*7)が送信可能な脆弱性の取扱いについて

 ウェブ上で音声やアニメーションを再生するためのソフトウェア「Flash Player」には、任意のRefererヘッダが送信可能な問題がありました。このため、Refererヘッダを基にセキュリティ対策を行っているウェブアプリケーションは、そのセキュリティ対策が迂回されてしまう可能性がありました(別紙1のP.9の表1-2項番2)。

 本件は、当初、Flash Playerとは異なる国内製品(ウェブアプリケーション)の脆弱性として届出られたものでした。この問題の解決には、届出られた製品側でRefererヘッダを基にしたセキュリティ対策を止めることや、ウェブブラウザ側でRefererヘッダの送信方法を修正することも考えられました。しかし、本来、Refererヘッダは、リンク元を示す情報としてクライアントからサーバへ架空のURLを送信してはならないとされています。

 JPCERT/CC、IPAで調整を行った結果、米国CERT/CCにも働きかけ、米国のFlash Playerの開発者と交渉した結果、米国のFlash Playerの開発者が修正を行い、7月11日に脆弱性対策情報を公表しました。

(3)JPCERT/CCが脆弱性情報を調整する製品開発者の登録者数が累計で200社を突破しました

 JPCERT/CCは、ソフトウェア製品の脆弱性が発生した際、影響を受ける可能性のある製品開発者を特定し、迅速かつ確実な情報を提供することを目的に、その連絡先となる製品開発者を製品開発者リストとして整備してきました。

 図3に示すように、この製品開発者リストに登録した製品開発者(製品脆弱性対策管理者)が9月末時点で207社となりました。今後も脆弱性への早期対応を図るため、製品開発者リストへの登録を広く募集しています。

(4)脆弱性対策情報データベース「JVN iPedia」(*8)の登録件数が4,000件を突破しました

 脆弱性対策情報データベース「JVN iPedia」は、約3,600件の登録情報で4月25日から提供開始しました。以来、図4に示すように、公開後も就業日1日当たり平均約5件の情報を登録し、9月末時点で登録件数が4,116件となりました。就業日1日当たり2千件を超えるアクセスがあり、好評に活用されています。

(詳細は9月14日付プレスリリースを参照。

図3.製品開発者リストへの登録数の推移、図4.JVN iPediaへの登録件数の推移

(5)脆弱性の深刻度評価を新バージョンCVSS v2(*9)へ移行しました

 ソフトウェア製品の脆弱性の深刻度評価に、FIRST(*10)が推進している、共通脆弱性評価システムCVSSを採用しています。CVSSは、情報システムの脆弱性に対するオープンで汎用的な評価手法で、特定のベンダーに依存しない共通の評価方法として、脆弱性の深刻さを、製品利用者やSI事業者、製品開発者などが、同一の基準の下で定量的に比較できるものです。現在、CVSSは30を超える組織で採用されています(*11)

 スペインで開催されたFIRST年会議でCVSSの新バージョンであるCVSS v2が公表されたのを受け、脆弱性対策情報の公表ページ(*12)、及び、JVN iPediaの深刻度評価を8月20日にCVSS v2へ移行しました。

 JVN iPediaでは脆弱性そのものの特性を評価したCVSS基本値を公表しています。JVN iPediaのCVSS計算ツール(図5)を用い、製品利用者自身が脆弱性への対応を決めるためのCVSS現状値(攻撃コードの出現有無、対策情報の適用可否など)やCVSS環境値(各組織での対象製品の利用範囲、攻撃を受けた場合の被害の大きさなど)を計算することが可能です。

 就業日1日当たり400件を超えるアクセスがあり、好評に活用されています。今後も製品利用者は積極的に活用下さい。

図5.JVN iPediaのCVSS計算ツール

3.ウェブサイトの脆弱性の処理状況

 表3に示すように、2007年第3四半期にウェブサイトの脆弱性の修正が完了したものは26件(届出受付開始からの累計655件)、ウェブサイト運営者が脆弱性ではないと判断したものは24件(累計111件)、ウェブサイト運営者と連絡が不可能なものが0件(累計7件)、告示で定める届出の対象に該当せず不受理としたものは3件(累計72件)です。これらの取扱いを終了したものの合計は53件(累計845件)です。詳細は別紙1のP.12の2章を参照下さい。

表3.ウェブサイトの脆弱性の処理件数

分類 件数 累計件数
修正完了 26 655
脆弱性ではない 24 111
連絡不可能 0 7
不受理 3 72
53 845

(1)ウェブサイトの脆弱性の届出が1,000件を突破しました

 図6に届出受付開始(2004年7月8日)から今四半期末までに届出られたウェブサイトの脆弱性の処理状況を示します。届出られた1,043件のうち、「取扱い終了」は773件(74%)、「取扱い中」は198件(19%)、「不受理」は72件(7%)となっており、「取扱い中」を除く845件(81%)は取扱いの処理を終了しています。

 「取扱い終了」のうち、「修正完了」したものは655件、ウェブサイト運営者により「脆弱性ではない」と判断されたものは111件でした。なお、IPAはメールのほか、電話や郵送手段及びレンタルサーバ会社と通じてなどにより、ウェブサイト運営者への連絡を試みていますが、それでも、ウェブサイト運営者から回答がなく「連絡不可能」なものは7件ありました。

 「修正完了」のうち、ウェブサイト運営者からの依頼を受け、当該脆弱性が適切に修正されたかどうかをIPAが無償で確認したものは113件、ウェブサイト運営者が当該ページを削除することにより対応したものは62件、ウェブサイト運営者が運用により被害を回避しているものは18件でした。

 「修正完了」した655件のうち79%が、ウェブサイト運営者に脆弱性の詳細情報を通知してから90日以内に脆弱性の修正を完了しています(詳細は別紙1のP.14の図2-5を参照下さい)。ウェブサイト運営者は脆弱性への素早い対応が必要です。

図6.ウェブサイトの脆弱性の処理状況

(2)ウェブサイトの脆弱性で300日以上も対策が完了していないものが50件に達しました

 IPAは、ウェブサイト運営者へ脆弱性の詳細情報を送付してから脆弱性対策の返信がない場合、当初1カ月毎に数回、その後2~3カ月毎にウェブサイト運営者へ、メールや郵送手段などで脆弱性対策を促しています。それにもかかわらず、300日以上も対策が完了していないものが、図7に示すように50件に達しました。

 フィッシング詐欺に悪用されてしまう可能性のあるクロスサイト・スクリプティングや、ウェブサイトの情報が盗まれてしまう可能性のあるSQLインジェクションのように、深刻度の高い脆弱性でも修正が長期化しているものがあります。ウェブサイト運営者は脆弱性を攻撃された場合の脅威を認識し、早期に問題を解決することが必要です。

図7.修正が長期化しているウェブサイトの未修正の経過日数と脆弱性の種類

『脚注』

(*1)ソフトウェア等の脆弱性関連情報に関する届出制度:経済産業省告示に基づき、2004年7月より開始しました。IPAは届出受付・分析、JPCERT/CCは国内の製品開発者などの関連組織との調整を行っています。

(*2)「知っていますか?脆弱性 (ぜいじゃくせい)」を2007年7月より公開しました。就業日1日当たり1千件を超えるアクセスがあり、好評に活用されています。
http://www.ipa.go.jp/security/vuln/vuln_contents/

(*3)2007年第2四半期に公表した四半期別届出件数の推移のグラフから、ソフトウェア製品に関する届出に関して、製品開発者が個別対応を行ったものを件数として追加するなどの変更をしました。

(*4)Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。国内で利用されている製品の脆弱性対策情報を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/

(*5)Computer Security Incident Response Team。コンピュータセキュリティインシデント対応チーム。コンピュータセキュリティに関するインシデント(事故)への対応・調整・サポートをする組織です。

(*6)本脆弱性の深刻度=レベルII(警告)、CVSS基本値=6.8、別紙1のP.10の表1-2項番14を参照下さい。

(*7)HTTPのリクエストに含まれる情報で、リンク元を示す情報として送られる。通常、ウェブブラウザが自動的にリンク元のページのURLをRefererヘッダとして、リンク先のサーバへ送っている。

(*8)脆弱性対策情報データベース(ジェイブイエヌ アイ・ペディア)。脆弱性対策情報ポータルサイト「JVN」で公表した脆弱性対策情報約400件に加え、米国国立標準技術研究所NISTが国立脆弱性データベース「NVD」で公開している約2万5千件の主に欧米英語圏の情報の中から、IPAが日本国内で使用されている製品に関連していると思われる情報を約3,200件を選び出し、その情報を翻訳し、公表を開始しました。
http://jvndb.jvn.jp/

(*9)Common Vulnerability Scoring System。
http://www.ipa.go.jp/security/vuln/SeverityCVSS2.html

(*10)Forum of Incident Response and Security Teams。コンピュータセキュリティインシデント対応チームフォーラム。CSIRT(Computer Security Incident Response Team)の国際的な連合体。
http://www.first.org/

(*11)CVSSの採用組織:http://www.first.org/cvss/eadopters.html

(*12)http://www.ipa.go.jp/security/vuln/documents/index.html

お問い合わせ先

独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)

TEL:03-5978-7527 FAX:03-5978-7518
E-mail:電話番号:03-5978-7501までお問い合わせください。