ソフトウエア等の脆弱性関連情報に関する届出状況
[2008年第1四半期(1月〜3月)]
掲載日 2008年4月16日
独立行政法人 情報処理推進機構
セキュリティセンター
独立行政法人 情報処理推進機構(略称:IPA、理事長:西垣 浩司)および有限責任中間法人JPCERTコーディネーションセンター(略称:JPCERT/CC、代表理事:歌代 和正)は、2008年第1四半期(1月〜3月)の脆弱性関連情報の届出状況(*1)をまとめました。
■届出状況の詳細(本文および別紙)は次のPDFファイルをご参照ください。
■届出状況の本文抜粋
今四半期のトピックス:
「情報セキュリティ早期警戒パートナーシップ」による
脆弱性の届出件数が2,000件に達しました。
1. 2008年第1四半期の届出状況
1.1 脆弱性の届出状況
2008年第1四半期(2008年1月1日から3月31日まで)のIPAへの脆弱性関連情報の届出件数は、ソフトウェア製品に関するもの53件、ウェブアプリケーション(ウェブサイト)に関するもの244件、合計297件でした。
届出受付開始(2004年7月8日)からの累計は、ソフトウェア製品に関するもの679件、ウェブサイトに関するもの1,367件、合計2,046件で、ウェブサイトに関する届出が全体の3分の2を占めています(表1)。
表1.2008年第1四半期の届出件数
| 分類 | 届出件数 | 累計件数 |
|---|---|---|
| ソフトウェア製品 | 53 件 |
679 件 |
| ウェブサイト | 244 件 |
1,367 件 |
| 計 | 297 件 |
2,046 件 |
届出が年々増加しており、届出受付開始(2004年7月8日)から各四半期末までの業務日1日あたりの届出件数が、今四半期で2.24件となりました。
累計件数が1,000件に達するのに2年半(2004年3Q〜2006年4Q)を要しましたが、その後、1年3カ月(2007年1Q〜2008年1Q)で2,000件に達しました(図1)。
今四半期は、政府機関のウェブサイトに関する脆弱性や、特定のウェブブラウザの動作に依存したウェブサイトの脆弱性の届出が増加するなど、ウェブサイトに関する届出が過去最多を記録しました。
これまで見落とされがちだったものが多数届出られ、潜在していた脆弱性が顕在化しているものと考えています。
就業日1日あたりの届出件数(届出受付開始から各四半期末時点)
| 2005/1Q | 2006/1Q | 2Q | 3Q | 4Q | 2007/1Q | 2Q | 3Q | 4Q | 2008/1Q |
|---|---|---|---|---|---|---|---|---|---|
| 1.45 | 1.61 | 1.70 | 1.75 | 1.92 | 1.95 | 1.98 | 2.03 | 2.05 | 2.24 |
1.2 脆弱性の取扱い状況
2008年第1四半期の脆弱性の取扱い状況は、ソフトウェア製品に関して届出が53件あり、取扱い終了(*2)が33件のため、取扱中が20件増加して累計274件となりました。
ウェブサイトに関しては、届出が244件あり、取扱い終了(*3)が78件のため、取扱中が166件増加して累計327件となりました(表2)。
表2.2008年第1四半期の取扱い件数
| 分類 | 状況 | 件数 | 累計件数 |
|---|---|---|---|
| ソフトウェア製品 | 届出 | 53 件 |
679 件 |
| 取扱い終了 | 33 件 |
405 件 |
|
| 取扱い中 | 20 件 |
274 件 |
|
| ウェブサイト | 届出 | 244 件 |
1,367 件 |
| 取扱い終了 | 78 件 |
1,040 件 |
|
| 取扱い中 | 166 件 |
327 件 |
図2は、ソフトウェア製品に関して各四半期に届出のあったものの現在の取扱い状況です。
例えば、2006年第2四半期に届出のあった86件は、50件の取扱いを終了しましたが36件は取扱中です。また、2006年第3四半期に届出のあった39件は、23件の取扱いを終了しましたが16件は取扱中です。
このように、ソフトウェア製品に関しては、2006年に届出られたものでも、まだ、38%が取扱中のままです。2007年に届出られたものの56%が取扱中のままです。
ソフトウェア製品開発者は、脆弱性を攻撃された場合の顧客システムへの影響の重大さを認識し、早期に対策を講じる必要があります。
ウェブサイトに関しては2007年に届出られたものの24%が取扱い中のままです(図3)。ウェブサイト運営者は、脆弱性を攻撃された場合の重大さを認識し、早期に対策を講じる必要があります。
2.ソフトウェア製品の脆弱性の処理状況
2008年第1四半期のソフトウェア製品の脆弱性の処理状況は、JPCERT/CCが調整を行い、製品開発者が脆弱性の修正を完了し、JVN(*4)で対策情報を公表したものは19件でした。
製品開発者からの届出のうちJVNで公表せず製品開発者が個別対応を行ったものは2件、製品開発者が脆弱性ではないと判断したものは0件、告示で定める届出の対象に該当せず不受理としたものは12件でした。
これらの取扱いを終了したものの合計は33件(累計405件)です(表3)。
表3.ソフトウェア製品の脆弱性の終了件数
| 分類 | 分類 | 件数 | 累計件数 |
|---|---|---|---|
| 修正完了 | 公表済み | 19 件 |
261 件 |
| 個別対応 | 2 件 |
14 件 |
|
| 脆弱性ではない | 0 件 |
31 件 |
|
| 不受理 | 12 件 |
99 件 |
|
| 計 | 33 件 |
405 件 |
|
この他、海外のCSIRT(*5)からJPCERT/CCが連絡を受けた24件(累計327件)をJVNで公表しました。これらの、公表済み件数の期別推移を図4に示します。
なお、2008年第1四半期において、JVNで対策情報を公表した主なものは、以下のとおりです。
(1)「アイ・オー・データ製無線 LAN ルータ」の脆弱性(*6)
ネットワーク機器の「アイ・オー・データ製無線 LAN ルータ」に組込まれたソフトウェアに、認証機能が初期設定で無効となっている脆弱性が存在しました。
この脆弱性が悪用されると外部から管理画面を操作されてしまう可能性があり、3月18日にJVNで対策情報を公表しました。
(2)「Sun JRE」の脆弱性(*7)
Javaプログラムを実行するためのソフトウェア「Sun JRE (Java Runtime Environment)」に、本来権限が無いと実行できない処理を誤って実行してしまう脆弱性が存在しました。
この脆弱性が悪用されると、ローカルファイルなどにアクセスされてしまう可能性があり、3月11日にJVNで対策情報を公表しました。
(3)「ジャストシステム製品」の脆弱性(*8)
日本語ワープロソフトウェアや表計算ソフトウェアなどの「ジャストシステム製品」のファイルを読みこむ処理に、バッファオーバーフローの脆弱性が存在し、ウェブブラウザの種類によっては、悪意のあるURLにアクセスするだけで被害を受ける可能性がありました。
この脆弱性が悪用されると、システムが破壊されたり、ウイルスやボットに感染させられたりしてしまう可能性があり、1月7日にJVNで対策情報を公表しました。
(4)「ヤマハルーター製品」の脆弱性(*9)
ネットワーク機器の「ヤマハルーター製品」に組込まれたソフトウェアに、クロスサイト・リクエスト・フォージェリ(CSRF)の脆弱性があり、1月28日にJVNで対策情報を公表しました。
組込みソフトウェアの脆弱性は、今四半期は(1)(4)の他に「複数のキヤノン製デジタル複合機およびレーザービームプリンターの脆弱性」(*10) の計3件の脆弱性対策情報を公表しました。
3.ウェブサイトの脆弱性の処理状況
2008年第1四半期のウェブサイトの脆弱性の処理状況は、IPAが通知を行い、ウェブサイト運営者が修正を完了したものは67件、ウェブサイト運営者が脆弱性ではないと判断したものは9件、ウェブサイト運営者と連絡が不可能なものが0件、告示で定める届出の対象に該当せず不受理としたものは2件でした。
これらの取扱いを終了したものの合計は78件(累計1,040件)です(表4)。
表4.ウェブサイトの脆弱性の終了件数
| 分類 | 件数 | 累計件数 |
|---|---|---|
| 修正完了 | 67 件 |
815 件 |
| 脆弱性ではない | 9 件 |
140 件 |
| 連絡不可能 | 0 件 |
7 件 |
| 不受理 | 2 件 |
78 件 |
| 計 | 78 件 |
1040 件 |
これららのうち、修正完了件数の期別推移を図5に示します。
3.1 運営主体の内訳
〜政府機関のウェブサイトに関して通常より多数の届出
届出受付開始(2004年7月8日)からの今四半期までに届出を受付けたウェブサイトの運営主体別内訳は、企業合計が71%、政府機関が6%、地方公共団体が7%、団体(協会・社団法人)が9%、教育・学術機関が4%、個人が6%となっています(図6)。
今四半期のみを見ると、政府機関のウェブサイトに関する届出が13%あり、通常の倍の割合の届出となっています(図7)。
3.2 特定のブラウザの動作に依存したウェブサイトの脆弱性の届出が多数
今四半期は、特定のウェブブラウザの動作に依存したウェブサイトのクロスサイト・スクリプティングの脆弱性の届出が多くありました(図8)。
これは、ウェブサイトが文字コードを指定しない場合におけるウェブブラウザの文字コードの解釈に関するもの(UTF-7)や、スクリプトに該当する文字列(Internet Explorerのexpressionプロパティ)に関するものです。クロスサイト・スクリプティング対策をしていても、対策が不十分なウェブサイトが多く見うけられます。
ウェブサイトの開発者は「ウェブブラウザが文字コードを独自に解釈することがないように明示的な文字コードの指定を行う」(*11)、「入力されたHTMLテキストから、スクリプトに該当する文字列を排除する」(*12)などの対策が必要です。
3.3 ウェブサイトの脆弱性で90日以上対策が未完了のものは108件
IPAは、ウェブサイト運営者から脆弱性対策の返信がない場合、脆弱性が攻撃された場合の脅威を丁寧に解説するなど、1〜2カ月毎にメールや郵送手段などで脆弱性対策を促しています。
また、今四半期は、特に修正が長期化しているウェブサイト運営者に面会するなど、更に脆弱性対策を促しました。
この結果、ウェブサイトの脆弱性で90日以上も対策が完了していないものは、前四半期から21件減少しました。しかし、今四半期で新たに34件が90日以上となったため、13件増加し累計で108件(前四半期は95件)となりました。また、300日以上も対策が完了していないものが14件増加し累計で53件(前四半期は39件)となりました(図9)。
ウェブサイトの情報が盗まれてしまう可能性のあるSQLインジェクションのように、深刻度の高い脆弱性でも修正が長期化しているものがあります。ウェブサイト運営者は脆弱性を攻撃された場合の脅威を認識し、早期に対策を講じる必要があります。
脚注
(*1)ソフトウェア等の脆弱性関連情報に関する届出制度:経済産業省告示に基づき、2004年7月より開始しました。IPAは届出受付・分析、JPCERT/CCは国内の製品開発者などの関連組織との調整を行っています。
(*2)ソフトウェア製品開発者が修正完了したもの、脆弱性ではないと判断したもの、不受理のもの。
(*3)ウェブサイト運営者が修正完了したもの、脆弱性ではないと判断したもの、連絡不可能なもの、不受理のもの。
(*4)Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。国内で利用されている製品の脆弱性対策情報を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。 http://jvn.jp/
(*5)Computer Security Incident Response Team。コンピュータセキュリティインシデント対応チーム。コンピュータセキュリティに関するインシデント(事故)への対応・調整・サポートをする組織です。
(*6)本脆弱性の深刻度=レベルIII(危険)、CVSS基本値=7.5、別紙のP.4表1-2項番1を参照下さい。
(*7)本脆弱性の深刻度=レベルII(警告)、CVSS基本値=6.8、別紙のP.6表1-2項番14を参照下さい。
(*8)本脆弱性の深刻度=レベルII(警告)、CVSS基本値=6.8、別紙のP.4表1-2項番2を参照下さい。
(*9)本脆弱性の深刻度=レベルII(警告)、CVSS基本値=4.0、別紙のP.4表1-2項番3を参照下さい。
(*10)本脆弱性の深刻度=レベルII(警告)、CVSS基本値=5.0、別紙のP.5表1-2項番11を参照下さい。
(*11)「安全なウェブサイトの作り方 改訂第3版」P.25の8)を参照。
(*12)「安全なウェブサイトの作り方 改訂第3版」P.25の7)を参照。
本件に関するお問い合わせ先
独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC) 山岸/渡辺
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: 
Tel: 03-3518-4600 Fax: 03-3518-4602
E-mail: 