HOME情報セキュリティ情報セキュリティ対策脆弱性対策ソフトウェア等の脆弱性関連情報に関する届出状況2008年第3四半期

本文を印刷する

情報セキュリティ

ソフトウェア等の脆弱性関連情報に関する届出状況2008年第3四半期

掲載日 2008年10月14日
独立行政法人 情報処理推進機構
セキュリティセンター

 独立行政法人情報処理推進機構(略称:IPA、理事長:西垣 浩司)および有限責任中間法人JPCERTコーディネーションセンター(略称:JPCERT/CC、代表理事:歌代 和正)は、2008年第3四半期(7月~9月)の脆弱性関連情報の届出状況(*1)をまとめました。

 2008年第3四半期(2008年7月1日から9月30日まで)のIPAへの脆弱性関連情報の届出件数は、ソフトウェア製品に関するもの55件、ウェブアプリケーション(ウェブサイト)に関するもの509件、合計564件でした。

 届出受付開始(2004年7月8日)からの累計は、ソフトウェア製品に関するもの802件、ウェブサイトに関するもの2,084件、合計2,886件で、ウェブサイトに関する届出が全体の約4分の3を占めています(表1)。

表1.2008年第3四半期の届出件数

分類 届出件数 累計件数
ソフトウェア製品
55
802
ウェブサイト
509
2,084
564
2,886


 届出が年々増加しており、届出受付開始(2004年7月8日)から各四半期末までの業務日1日あたりの届出件数が、今四半期で2.79件となりました(図1)。

 2008年第3四半期はウェブサイトの脆弱性の届出が509件で、届出件数が突出して激増しました。これは、2008年8月からDNSキャッシュポイズニングの脆弱性の届出が激増しているためです。全てのウェブサイト運営者は早急な調査と対策実施が必要です。詳細は3.2節3.3節を参照下さい。

 

就業日1日あたりの届出件数(届出受付開始から各四半期末時点)

2005/1Q 2006/1Q 2007/1Q 2Q 3Q 4Q 2008/1Q 2Q 3Q
1.45 1.61 1.95 1.98 2.03 2.05 2.24 2.38 2.79

図1.脆弱性関連情報の届出件数の四半期別推移 

 

1. 脆弱性の取扱い概況

 2008年第3四半期は、ソフトウェア製品に関しては37件の取扱いが終了(*2)しましたが、届出が55件あったため、取扱い中は18件増加して累計337件となりました。ウェブサイトに関しては161件の取扱いが終了(*3)しましたが、届出が509件あったため、取扱い中が348件増加して累計698件となりました。

 図2は、ソフトウェア製品に関して各四半期に届出のあったものの現在の取扱い状況です。例えば、2006年第3四半期に届出のあったものは、23件の取扱いを終了しましたが16件は取扱い中です。また、2007年第3四半期に届出のあったものは、26件の取扱いを終了しましたが23件は取扱い中です。

 このように、ソフトウェア製品に関しては、2006年に届出られたものでも、今だ36%が取扱い中のままです。2007年に届出られたものは、47%が取扱い中のままです。ソフトウェア製品開発者は、脆弱性を攻撃された場合の顧客システムへの影響の重大さを認識し、早期に対策を講じる必要があります。

図2.ソフトウェア製品に関して各四半期に届出のあったものの現在の状況

 ウェブサイトに関しては2007年に届出られたものの20%が取扱い中のままです(図3)。ウェブサイト運営者は、脆弱性を攻撃された場合の重大さを認識し、早期に対策を講じる必要があります。

図3.ウェブサイトに関して各四半期に届出のあったものの現在の状況

2.ソフトウェア製品の脆弱性の処理状況

 2008年第3四半期のソフトウェア製品の脆弱性の処理状況は、JPCERT/CCが調整を行い、製品開発者が脆弱性の修正を完了し、JVN(*4)で対策情報を公表したものは25件でした。
  製品開発者からの届出のうちJVNで公表せず製品開発者が個別対応を行ったものは0件、製品開発者が脆弱性ではないと判断したものは0件、告示で定める届出の対象に該当せず不受理としたものは12件でした。
  これらの取扱いを終了したものの合計は37件(累計465件)です(表2)。

表2.ソフトウェア製品の脆弱性の終了件数

分類 分類 件数 累計件数
修正完了 公表済み
25
299
個別対応
0
16
脆弱性ではない
0
34
不受理
12
116
37
465


  この他、海外のCSIRT(*5)からJPCERT/CCが連絡を受けた18件(累計374件)をJVNで公表しました。これらの、公表済み件数の期別推移を図4に示します。

図4.ソフトウェア製品の脆弱性対策情報の公表件数

 なお、2008年第3四半期において、JVNで対策情報を公表した主なものは、以下のとおりです。

(1)「ウイルスセキュリティ」および「ウイルスセキュリティZERO」における脆弱性(*6)

 ソースネクスト株式会社が提供するウイルス対策ソフトの「ウイルスセキュリティ」および「ウイルスセキュリティZERO」のファイルのスキャン処理において圧縮ファイルの取扱いに問題があり、サービス運用妨害(DoS(*7))状態となる脆弱性が存在しました。
 この弱点が悪用されると、「ウイルスセキュリティ」および「ウイルスセキュリティZERO」のスキャン処理が停止し、以降ウイルスが検知できなくなってしまうため、ウイルスに感染しやすくなる可能性があり、8月12日にJVNで対策情報を公表しました。

(2) 複数のパナソニック コミュニケーションズ株式会社製ネットワークカメラにおけるクロスサイト・スクリプティングの脆弱性(*8)

 複数のパナソニック コミュニケーションズ株式会社製「ネットワークカメラ」には、クロスサイト・スクリプティングの問題がありました。このため、第三者によりウェブページにスクリプトを埋め込まれる可能性があり、7月31日にJVNで対策情報を公表しました。

 組込みソフトウェアの脆弱性は、この他に「複数のセンチュリー・システムズ株式会社製ルータにおけるクロスサイト・リクエスト・フォージェリの脆弱性」(*9)、「iPod touch および iPhone に搭載されているSafariにおいて証明書が不正に受け入れられる脆弱性」(*10)の脆弱性対策情報を公表しました。

3.ウェブサイトの脆弱性の処理状況

 2008年第3四半期のウェブサイトの脆弱性の処理状況は、IPAが通知を行い、ウェブサイト運営者が修正を完了したものは155件、ウェブサイト運営者が脆弱性ではないと判断したものは5件、ウェブサイト運営者と連絡が不可能なものが0件、告示で定める届出の対象に該当せず不受理としたものは1件でした。
  これらの取扱いを終了したものの合計は161件(累計1,386件)です(表3)。

表3.ウェブサイトの脆弱性の終了件数

分類 件数 累計件数
修正完了
155
1133
脆弱性ではない
5
162
連絡不可能
0
7
不受理
1
84
161
1,386


  これらのうち、修正完了件数の期別推移を図5に示します。

図5.ウェブサイトの脆弱性の修正完了件数

3.1 届出のあったウェブサイトの運営主体の内訳と脆弱性の種類

 今四半期に脆弱性の届出のあった対象ウェブサイトの運営主体別内訳は、企業合計が53%、政府機関が6%、地方公共団体が34%、団体(協会・社団法人)が3%、個人が3%などとなっています(図6)。

 また、今四半期に届出のあったウェブサイトの脆弱性の種類の内訳は、DNS(Domain Name System)(*11)情報の設定不備が56%、クロスサイト・スクリプティングが18%、SQLインジェクションが14%、ディレクトリ・トラバーサルが7%、セッション管理の不備が1%などとなっています(図7)。

 広く知れ渡っている脆弱性が数多く届出られており、ウェブサイト開発者は既知の脆弱性を認識し、ウェブサイトの企画・設計段階からのセキュリティの考慮が必要です。

図6.ウェブサイトの運営主体、図7.ウェブサイトの脆弱性の種類

3.2 2008年8月からDNSキャッシュポイズニングの脆弱性の届出が激増

 図7に示すように、2008年第3四半期はDNS情報の設定不備の届出件数が突出して激増しました。これは、DNS(Domain Name System)キャッシュポイズニングの脆弱性に関して、「実際に運用中のウェブサイトのDNSサーバに、対策を実施していないのではないか?」という旨の届出が激増したためです。

 図8に示すように8月11日の週から届出があり、9月に入ってからは、毎週数十件にのぼっています(累計283件、9月30日まで)。通常の脆弱性の届出は、毎週10~20件程度であることから、DNSキャッシュポイズニングの脆弱性の届出件数が突出して激増していると言えます。

 この脆弱性に関しては、2008年7月に複数のDNS サーバ製品の開発ベンダーから対策情報が公開され(*12)、JPCERT/CCが2008年7月9日に注意喚起(*13)を、また、IPAが2008年7月24日に緊急対策情報(*14)を、2008年9月18日に注意喚起(*15)を発行しました。

 図8.DNSキャッシュポイズニングの脆弱性の届出件数の推移

3.3 DNSキャッシュポイズニングの脆弱性の脅威

 DNSキャッシュポイズニングは、DNSキャッシュサーバ(*16)に偽の情報(毒)を混入させる攻撃手法です。DNSキャッシュサーバは一般に、ネットワーク管理者がその組織内の構成員に提供するものです。このため、DNSキャッシュポイズニングの影響は、通常、当該組織内に限定されます。

 また、一般的にウェブサイト運営者が外部の利用者へ提供するのは、DNSコンテンツサーバであり、DNSキャッシュサーバは提供しません。このため通常、ウェブサイトはDNSキャッシュポイズニングの影響を受けることはありません。

 しかし、DNSキャッシュサーバがDNSコンテンツサーバを兼ねている構成のウェブサイトは少なくありません。このような構成でDNSの脆弱性の問題がある場合、ウェブサイト自体や第三者への脅威が発生する可能性があります。IPAはこれをウェブサイトの脆弱性として受け付けています。

 脆弱性への対策を怠り悪用された場合、サイト運営組織内の利用者が、正しいウェブサイトの宛先を指定したにもかかわらず、知らぬ間に悪意のあるサイトに誘導され、金銭被害や個人情報漏えいの被害を受けてしまう可能性があります。結果として、サイト運営者は組織としての社会的な信頼の失墜や、経済的損失を被ることにもなりかねません。

 脆弱性が届出られたウェブサイトの運営者は、政府機関、地方公共団体、民間企業など広範囲に渡っています。個人情報を扱っているような社会的影響の大きいウェブサイトのDNSサーバについても多数の届出があり、各サイトの運営者は早急な調査と対策実施が必要です。

3.4 ウェブサイトの脆弱性で90日以上対策が未完了のものは179件

 IPAは、ウェブサイト運営者から脆弱性対策の返信がない場合、脆弱性が攻撃された場合の脅威を丁寧に解説するなど、1~2カ月毎にメールや郵送手段などで脆弱性対策を促しています。また、今四半期は、特に修正が長期化しているウェブサイト運営者に面会するなど、更に脆弱性対策を促しました。

 この結果、図9に示すように、ウェブサイトの脆弱性で90日以上も対策が完了していないものは、前四半期から28件減少しました。しかし、今四半期で新たに71件が90日以上となったため、43件増加し累計で179件(前四半期は136件)となりました。また、300日以上も対策が完了していないものが10件増加し累計で76件(前四半期は66件)となりました。

 ウェブサイトの情報が盗まれてしまう可能性のあるSQLインジェクションのように、深刻度の高い脆弱性でも修正が長期化しているものがあります。ウェブサイト運営者は脆弱性を攻撃された場合の脅威を認識し、早期に対策を講じる必要があります。

図9.修正が長期化しているウェブサイトの未修正の経過日数と脆弱性の種類

脚注

(*1)ソフトウェア等の脆弱性関連情報に関する届出制度:経済産業省告示に基づき、2004年7月より開始しました。IPAは届出受付・分析、JPCERT/CCは国内の製品開発者などの関連組織との調整を行っています。

(*2)ソフトウェア製品開発者が修正完了したもの、脆弱性ではないと判断したもの、不受理のもの。

(*3)ウェブサイト運営者が修正完了したもの、脆弱性ではないと判断したもの、連絡不可能なもの、不受理のもの。

(*4)Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。国内で利用されている製品の脆弱性対策情報を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/

(*5)Computer Security Incident Response Team。コンピュータセキュリティインシデント対応チーム。コンピュータセキュリティに関するインシデント(事故)への対応・調整・サポートをする組織です。

(*6)本脆弱性の深刻度=レベルII(警告)、CVSS基本値=4.3別紙のP.5表1-2項番10を参照下さい。

(*7)Denial of Service。サービス不能状態。

(*8)本脆弱性の深刻度=レベルII(警告)、CVSS基本値=4.3別紙のP.5表1-2項番9を参照下さい。

(*9)本脆弱性の深刻度=レベルII(警告)、CVSS基本値=4.0別紙のP.4表1-2項番5を参照下さい。

(*10)本脆弱性の深刻度=レベルI(注意)、CVSS基本値=2.6別紙のP.6表1-2項番21を参照下さい。

(*11)コンピュータがネットワークのどこに接続されているかを示すIPアドレスという数字の集まりを、www.ipa.go.jp のような人に覚えやすいドメイン表記と対応させるための情報を管理する仕組みです。

(*12)脆弱性対策情報データベースJVN iPedia「複数のDNS実装にキャッシュポイズニングの脆弱性」を参照。
http://jvndb.jvn.jp/ja/contents/2008/JVNDB-2008-001495.html

(*13)複数のDNSサーバ製品におけるキャッシュポイズニングの脆弱性。
http://www.jpcert.or.jp/at/2008/at080013.txt

(*14)複数のDNS製品の脆弱性について。
http://www.ipa.go.jp/security/ciadr/vul/20080724-dns.html

(*15)DNSキャッシュポイズニングの脆弱性に関する注意喚起。
http://www.ipa.go.jp/security/vuln/documents/2008/200809_DNS.html

(*16)DNSサーバには、自分の管理しているドメインのみに関する情報を返す「DNSコンテンツサーバ」と、ユーザ等が利用するクライアントプログラムからの要求に応じて、ドメイン名からIPアドレスを、あるいは、IPアドレスからドメイン名を回答する「DNSキャッシュサーバ」があります。

本件に関するお問い合わせ先

独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC) 山岸/渡辺

Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。

有限責任中間法人 JPCERTコーディネーションセンター 古田

Tel: 03-3518-4600 Fax: 03-3518-4602
E-mail: 電話番号:03-3518-4600までお問い合わせください。