HOME情報セキュリティ情報セキュリティ対策脆弱性対策ソフトウェア等の脆弱性関連情報に関する届出状況2008年第2四半期

本文を印刷する

情報セキュリティ

ソフトウェア等の脆弱性関連情報に関する届出状況2008年第2四半期

掲載日 2008年7月15日
独立行政法人 情報処理推進機構
セキュリティセンター

 独立行政法人 情報処理推進機構(略称:IPA、理事長:西垣 浩司)および有限責任中間法人JPCERTコーディネーションセンター(略称:JPCERT/CC、代表理事:歌代 和正)は、2008年第2四半期(4月~6月)の脆弱性関連情報の届出状況(*1)をまとめました。

 2008年第2四半期(2008年4月1日から6月30日まで)のIPAへの脆弱性関連情報の届出件数は、ソフトウェア製品に関するもの69件、ウェブアプリケーション(ウェブサイト)に関するもの208件、合計277件でした。
 届出受付開始(2004年7月8日)からの累計は、ソフトウェア製品に関するもの748件、ウェブサイトに関するもの1,575件、合計2,323件で、ウェブサイトに関する届出が全体の3分の2を占めています(表1)。

表1.2008年第2四半期の届出件数

分類 届出件数 累計件数
ソフトウェア製品
69
748
ウェブサイト
208
1,575
277
2,323


 届出が年々増加しており、届出受付開始(2004年7月8日)から各四半期末までの業務日1日あたりの届出件数が、今四半期で2.38件となりました(図1)。特に、2008年第1四半期からウェブサイトに関する届出が増加しています。

 ウェブサイトの脆弱性で90日以上も対策が完了していないものが、図8に示すように、前四半期から28件増加し136件となりました。SQLインジェクションのように、深刻度の高い脆弱性でも修正が長期化しているものがあります。

 図9に示すように、IPAの調査事例でも2008年4月以降のSQL インジェクション攻撃が激増しています。SQL インジェクション攻撃が成功すると、情報の改ざん、消去、漏えいなどの深刻な被害を招く危険性があります。ウェブサイト運営者は脆弱性を攻撃された場合の脅威を認識し、早期に対策を講じる必要があります。

就業日1日あたりの届出件数(届出受付開始から各四半期末時点)

2005/1Q 2006/1Q 2007/1Q 2Q 3Q 4Q 2008/1Q 2Q
1.45 1.61 1.95 1.98 2.03 2.05 2.24 2.38

図1.脆弱性関連情報の届出件数の四半期別推移

 

1. 脆弱性の取扱い状況

 2008年第2四半期の脆弱性の取扱い状況は、ソフトウェア製品に関して届出が69件あり、取扱い終了(*2)が23件のため、取扱中が46件増加して累計320件となりました。
 ウェブサイトに関しては、届出が208件あり、取扱い終了(*3)が185件のため、取扱中が23件増加して累計350件となりました(表2)。

表2.2008年第2四半期の取扱い件数

分類 状況 件数 累計件数
ソフトウェア製品 届出
69
748
取扱い終了
23
428
取扱い中
46
320
ウェブサイト 届出
208
1,575
取扱い終了
185
1,225
取扱い中
23
350


 図2は、ソフトウェア製品に関して各四半期に届出のあったものの現在の取扱い状況です。例えば、2006年第2四半期に届出のあった86件は、50件の取扱いを終了しましたが36件は取扱い中です。また、2006年第3四半期に届出のあった39件は、23件の取扱いを終了しましたが16件は取扱い中です。

 このように、ソフトウェア製品に関しては、2006年に届出られたものでも、今だ36%が取扱い中のままです。2007年に届出られたものは、52%が取扱い中のままです。ソフトウェア製品開発者は、脆弱性を攻撃された場合の顧客システムへの影響の重大さを認識し、早期に対策を講じる必要があります。

図2.ソフトウェア製品に関して各四半期に届出のあったものの現在の状況

 ウェブサイトに関しては2007年に届出られたものの21%が取扱い中のままです(図3)。ウェブサイト運営者は、脆弱性を攻撃された場合の重大さを認識し、早期に対策を講じる必要があります。

図3.ウェブサイトに関して各四半期に届出のあったものの現在の状況

2.ソフトウェア製品の脆弱性の処理状況

 2008年第2四半期のソフトウェア製品の脆弱性の処理状況は、JPCERT/CCが調整を行い、製品開発者が脆弱性の修正を完了し、JVN(*4)で対策情報を公表したものは13件でした。
 製品開発者からの届出のうちJVNで公表せず製品開発者が個別対応を行ったものは2件、製品開発者が脆弱性ではないと判断したものは3件、告示で定める届出の対象に該当せず不受理としたものは5件でした。
 これらの取扱いを終了したものの合計は23件(累計428件)です(表3)。

表3.ソフトウェア製品の脆弱性の終了件数

分類 分類 件数 累計件数
修正完了 公表済み
13
274
個別対応
2
16
脆弱性ではない
3
34
不受理
5
104
23
428


 この他、海外のCSIRT(*5)からJPCERT/CCが連絡を受けた29件(累計356件)をJVNで公表しました。これらの、公表済み件数の期別推移を図4に示します。

図4.ソフトウェア製品の脆弱性対策情報の公表件数

 なお、2008年第1四半期において、JVNで対策情報を公表した主なものは、以下のとおりです。

(1)「X.Org Foundation 製 X サーバ」の脆弱性(*6)

 Linux等にGUI環境を提供する X Window System のオープンソース実装「X.Org Foundation 製 X サーバ」にバッファオーバーフローの問題が存在し、細工されたフォントファイルにより被害を受ける可能性がありました。
 この脆弱性が悪用されると、システムの破壊や、ウイルスやボットに感染させられてしまう可能性があり、6月10日にJVNで対策情報を公表しました。

(2)「Lhaplus」の脆弱性(*7)

 複数の圧縮ファイル形式に対応した圧縮・展開を行うソフトウェア「Lhaplus」にバッファオーバーフローの問題が存在し、細工された圧縮ファイルを開くと被害を受ける可能性がありました。
  この脆弱性が悪用されると、システムの破壊や、ウイルスやボットに感染させられてしまう可能性があり、4月28日にJVNで対策情報を公表しました。

3.ウェブサイトの脆弱性の処理状況

 2008年第2四半期のウェブサイトの脆弱性の処理状況は、IPAが通知を行い、ウェブサイト運営者が修正を完了したものは163件、ウェブサイト運営者が脆弱性ではないと判断したものは17件、ウェブサイト運営者と連絡が不可能なものが0件、告示で定める届出の対象に該当せず不受理としたものは5件でした。
  これらの取扱いを終了したものの合計は185件(累計1,225件)です(表4)。

表4.ウェブサイトの脆弱性の終了件数

分類 件数 累計件数
修正完了
163
978
脆弱性ではない
17
157
連絡不可能
0
7
不受理
5
83
185
1,225


  これららのうち、修正完了件数の期別推移を図5に示します。

図5.ウェブサイトの脆弱性の修正完了件数

3.1 届出のあったウェブサイトの運営主体の内訳と脆弱性の種類

 今四半期に脆弱性の届出のあった対象ウェブサイトの運営主体別内訳は、企業合計が71%、政府機関が7%、地方公共団体が2%、団体(協会・社団法人)が14%、個人が4%となっています(図6)。

 また、今四半期に届出のあったウェブサイトの脆弱性の種類の内訳は、クロスサイト・スクリプティングが68%、ファイルの誤った公開が18%、SQLインジェクションが4%、認証に関する不備が2%、HTTPの不適切な利用が2%などとなっています(図7)。

 広く知れ渡っている脆弱性が数多く届出られており、ウェブサイト開発者は既知の脆弱性を認識し、ウェブサイトの企画・設計段階からのセキュリティの考慮が必要です。

図6.ウェブサイトの運営主体、図7.ウェブサイトの脆弱性の種類

3.2 ウェブサイトの脆弱性で90日以上対策が未完了のものは136件

 IPAは、ウェブサイト運営者から脆弱性対策の返信がない場合、脆弱性が攻撃された場合の脅威を丁寧に解説するなど、1~2カ月毎にメールや郵送手段などで脆弱性対策を促しています。また、今四半期は、特に修正が長期化しているウェブサイト運営者に面会するなど、更に脆弱性対策を促しました。

 この結果、図8に示すように、ウェブサイトの脆弱性で90日以上も対策が完了していないものは、前四半期から24件減少しました。しかし、今四半期で新たに52件が90日以上となったため、28件増加し累計で136件(前四半期は108件)となりました。また、300日以上も対策が完了していないものが13件増加し累計で66件(前四半期は53件)となりました。

 ウェブサイトの情報が盗まれてしまう可能性のあるSQLインジェクションのように、深刻度の高い脆弱性でも修正が長期化しているものがあります。

図8.修正が長期化しているウェブサイトの未修正の経過日数と脆弱性の種類

 

(1)2008年4月頃よりSQLインジェクション攻撃が多発しています

 例えば、IPAが提供しているウェブサーバのアクセスログを解析しSQLインジェクション攻撃や攻撃が成功した可能性を簡易に検出するツール「iLogScanner(*8)」で、IPAが公開しているオープンソース情報データベース「OSS iPedia(*9)」の2008年1月から6月のアクセスログを解析したところ、合計123件のSQLインジェクション攻撃を検出しました。攻撃に成功した件数は0件でしたが、図9に示すように、2008年4月以降の攻撃が激増しています。

 SQL インジェクション攻撃が成功すると、悪意ある者がデータベース内の情報を自由に操作することが可能となるため、ウェブサイトのデータベース内の情報の改ざん、消去、漏えいなどの深刻な被害を招く危険性があります。ウェブサイト運営者は脆弱性を攻撃された場合の脅威を認識し、早期に対策を講じる必要があります。

図9.SQLインジェクションの検出ツール「iLogScanner」の解析事例

4. ウェブサイト運営者からのアンケート集計結果

 IPAでは、脆弱性の対策を完了したウェブサイト運営者へアンケートを実施しています。IPAの認知度などのアンケートに対し、昨年10月より今四半期末までに175件(約80%の回収率)の回答がありました。
  図10に示すように、IPAの認知度は77%と高いものの、ソフトウェア等の脆弱性関連情報に関する届出制度の枠組みである「情報セキュリティ早期警戒パートナーシップ」についての認知度は26%と低い回答結果でした。

図10.ウェブサイト運営者 アンケート結果

  「情報セキュリティ早期警戒パートナーシップ」の認知度について、ウェブサイト運営主体別に分類すると、図11に示すように企業(株式・非上場企業)の方々の認知度が、特に低い結果となりました。今後は、「情報セキュリティ早期警戒パートナーシップ」の認知度向上を図ることによる脆弱性対策の促進にも注力したいと考えています。

 ウェブサイト運営者は、IPA の啓発資料「ウェブサイト運営者のための脆弱性対応ガイド(*10)」を参考に、ウェブサイトの脆弱性がもたらす具体的なトラブルや運営者に問われる責任、ウェブサイトに求められる継続的な対策、脆弱性が見つかった場合の対応手順を理解し、脆弱性の通知を受けた場合に早期に対応が必要です。

図11.ウェブサイトの運営主体別「情報セキュリティ早期警戒パートナーシップ」認知度

脚注

(*1)ソフトウェア等の脆弱性関連情報に関する届出制度:経済産業省告示に基づき、2004年7月より開始しました。IPAは届出受付・分析、JPCERT/CCは国内の製品開発者などの関連組織との調整を行っています。

(*2)ソフトウェア製品開発者が修正完了したもの、脆弱性ではないと判断したもの、不受理のもの。

(*3)ウェブサイト運営者が修正完了したもの、脆弱性ではないと判断したもの、連絡不可能なもの、不受理のもの。

(*4)Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。国内で利用されている製品の脆弱性対策情報を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/

(*5)Computer Security Incident Response Team。コンピュータセキュリティインシデント対応チーム。コンピュータセキュリティに関するインシデント(事故)への対応・調整・サポートをする組織です。

(*6)本脆弱性の深刻度=レベルIII(危険)、CVSS基本値=7.4別紙のP.4表1-2項番1を参照下さい。

(*7)本脆弱性の深刻度=レベルII(警告)、CVSS基本値=6.8別紙のP.4表1-2項番4を参照下さい。

(*8)SQLインジェクションの検出ツールiLogScanner。
http://www.ipa.go.jp/security/vuln/iLogScanner/

(*9)OSS iPedia(オーエスエスアイペディア)は、OSS(Open Source Software)の利用促進を目的とし、OSSの活用事例、技術情報、オープンソースに関する基本的な知識を整理しています。“OSS”、情報(information)の“i”、ギリシャ語で教育・知識・学問を意味する“Pedia(Paideia)”からの造語です。
http://ossipedia.ipa.go.jp/

(*10)「情報セキュリティ早期警戒パートナーシップガイドライン」の2008年版を公開~ウェブサイト運営者のための脆弱性対応マニュアルをガイドライン化~。
http://www.ipa.go.jp/security/ciadr/partnership_guide.html

本件に関するお問い合わせ先

独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC) 山岸/渡辺

Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。

有限責任中間法人 JPCERTコーディネーションセンター 古田

Tel: 03-3518-4600 Fax: 03-3518-4602
E-mail: 電話番号:03-3518-4600までお問い合わせください。