HOME情報セキュリティ情報セキュリティ対策脆弱性対策ソフトウェア等の脆弱性関連情報に関する届出状況2008年第4四半期

本文を印刷する

情報セキュリティ

ソフトウェア等の脆弱性関連情報に関する届出状況2008年第4四半期

掲載日 2009年1月26日
独立行政法人 情報処理推進機構
セキュリティセンター

 IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)およびJPCERT/CC(有限責任中間法人JPCERTコーディネーションセンター、代表理事:歌代 和正)は、2008年第4四半期(10月~12月)の脆弱性関連情報の届出状況(*1)をまとめました。

1. 今四半期のトピックス
1.1 DNSキャッシュポイズニングの脆弱性の届出が激増

 2008年7月に、複数のDNS(*2)サーバ製品の開発ベンダーから対策情報が公開され(*3)、JPCERT/CCが注意喚起を行った(*4)「DNSキャッシュポイズニングの脆弱性」に関して、「実際に運用されているDNSサーバに対策が実施されていないのでは?」という旨の届出が9月頃から激増しています。

 図1はDNSキャッシュポイズニング脆弱性の各月の届出件数と12月末現在の対策状況です。脆弱性の届出は、対策情報の公開直後に比べて減少傾向にありますが、12月にも126件の届出がありました。8月から12月までの届出の累計は792件で、現時点で取扱い中(対策中)のものが計674件あります。

 ウェブサイト運営者は、自組織が利用しているDNSサーバの脆弱性調査を行うか、あるいはそのDNSサーバの管理者へ脆弱性対策状況の確認を行い、未対策の場合は対策実施を促すことが必要です。

 DNSサーバの管理者は、自組織が管理しているDNSサーバの脆弱性調査を行い、脆弱性が有る場合は、DNSサーバのパッチ適用や設定変更の早急な実施が必要です(*5)

図1.DNSキャッシュポイズニング脆弱性の届出件数と対策状況

1.2 SQLインジェクションの脆弱性の届出が増加

 ウェブサイトの情報の改ざんや非公開情報が公開されるなど深刻な被害が発生しており、2008年3月にJPCERT/CCが注意喚起を行った(*6)「SQLインジェクション攻撃」に関して、「実際に運用されているウェブサイトにSQLインジェクションの脆弱性があるのでは?」という旨の届出が増加しています。

 図2はSQLインジェクション脆弱性の各月の届出件数と12月末現在の対策状況です。3月に多数の届出があり、8月頃から再度、増加傾向にあります。SQLインジェクション攻撃による被害の深刻さが認識され、潜在していた脆弱性を届ける方が増加してきているものと考えています。

 2008年の1月から12月までの届出の累計は263件で、現時点で取扱い中(対策中)のものが計202件あります。

 ウェブサイト管理者は、ウェブサーバのアクセスログ調査(*7)およびウェブサイトの脆弱性検査等を行い、脆弱性が有る場合は、ウェブサイトのSQLインジェクション対策の早急な実施が必要です(*8)

図2.SQLインジェクション脆弱性の届出件数と対策状況

1.3 脆弱性対策情報ポータルサイトJVNのCVE互換を宣言しました

 共通脆弱性識別子CVE(Common Vulnerabilities and Exposures)(*9)は、個別製品中の脆弱性を対象として、米国MITRE社が採番している識別子です。

 MITRE社では、CERT/CCやHP、IBM、OSVDB、Red Hat、Symantecなど80を超える主要な脆弱性情報サイトと連携して、脆弱性情報の収集と、重複のない採番に努めています。

 IPAとJPCERT/CCが共同で運営しているJVN(Japan Vulnerability Notes)(*10)も、MITRE社と連携してCVE採番の枠組みに参加するため、JVNで公表する脆弱性に対するCVEの割り当てを申請することとし、2008年10月からはMITRE社が公表している「CVE情報源サイト」の一つとして公示されるようになりました(*11)

 さらに2008年12月には、JVNとしての連携の意思を明確に示すため、「CVE互換宣言」を行いました(*12)

 今後も共通基準の導入を進めることにより、国内外の脆弱性対策情報流通の促進を図ると共に、利用者側の客観的・効率的な脆弱性対策を目指した利活用基盤を整備していきます。

1.4 今四半期の届出状況

 2008年第4四半期(2008年10月1日から12月31日まで)のIPAへの脆弱性関連情報の届出件数は、ソフトウェア製品に関するもの60件、ウェブアプリケーション(ウェブサイト)に関するもの1,430件、合計1,490件でした。

 届出受付開始(2004年7月8日)からの累計は、ソフトウェア製品に関するもの861件、ウェブサイトに関するもの3,514件、合計4,375件となりました。ウェブサイトに関する届出が全体の約5分の4を占めています(表1)。

表1.2008年第4四半期の届出件数

分類 届出件数 累計件数
ソフトウェア製品
60
861
ウェブサイト
1,430
3,514
1,490
4,375


  届出が年々増加しており、届出受付開始(2004年7月8日)から各四半期末までの業務日1日あたりの届出件数が、今四半期で4.00件となりました。届出受付開始から4年間(2004年3Q~2008年2Q)で累計件数が2,300件に達しましたが、その後、半年間(2008年3Q~4Q)で4,300件に達しました(図3)。

 これは、2008年第3四半期ごろからDNSキャッシュポイズニング、SQLインジェクション、クロスサイト・スクリプティングの脆弱性の届出が激増しているためです。

就業日1日あたりの届出件数(届出受付開始から各四半期末時点)

2006/1Q 2007/1Q 2Q 3Q 4Q 2008/1Q 2Q 3Q 4Q
1.61 1.95 1.98 2.03 2.05 2.24 2.38 2.79 4.00

図3.脆弱性関連情報の届出件数の四半期別推移

2.ソフトウェア製品の脆弱性の処理状況

 2008年第4四半期のソフトウェア製品の脆弱性の処理状況は、JPCERT/CCが調整を行い、製品開発者が脆弱性の修正を完了し、JVNで対策情報を公表したものは22件でした。

 製品開発者からの届出のうちJVNで公表せず製品開発者が個別対応を行ったものは0件、製品開発者が脆弱性ではないと判断したものは1件、告示で定める届出の対象に該当せず不受理としたものは16件でした。

 これらの取扱いを終了したものの合計は39件(累計504件)です(表2)。

表2.ソフトウェア製品の脆弱性の終了件数

分類 分類 件数 累計件数
修正完了 公表済み
22
321
個別対応
0
16
脆弱性ではない
1
35
不受理
16
132
39
504


  この他、海外のCSIRT(*13)からJPCERT/CCが連絡を受けた17件(累計392件)をJVNで公表しました。これらの、公表済み件数の期別推移を図4に示します。

図4.ソフトウェア製品の脆弱性対策情報の公表件数

 2008年第4四半期において、JVNで対策情報を公表した主なものは、以下のとおりです。

(1)「EC-CUBE」における SQL インジェクションの脆弱性(*14)

 株式会社ロックオンが提供するオープンソースのショッピングサイト構築システムの「EC-CUBE」には、データベースと通信する際の処理に問題があり、SQLインジェクションの脆弱性が存在しました。

 この弱点が悪用されると、「EC-CUBE」の管理者権限が外部の第三者に取得され、「EC-CUBE」上に登録されている個人情報が漏えいする可能性があり、10月1日および11月6日にJVNで対策情報を公表しました。

 この脆弱性情報は、製品開発者自身からIPAに届出があり、JPCERT/CCが製品開発者と調整を行ない公表したものです。今後も、JVNが製品開発者によって、脆弱性対策情報の利用者への周知手段として活用されることを期待します。

(2)アイ・オー・データ製「HDL-F シリーズ」におけるクロスサイト・リクエスト・フォージェリの脆弱性(*15)

 株式会社アイ・オー・データ機器が提供する、LAN接続型ハードディスク「HDL-Fシリーズ」のウェブ管理画面には、クロスサイト・リクエスト・フォージェリ(CSRF)の脆弱性が存在しました。悪意あるページを読み込んだ利用者が、ウェブ管理画面で意図しない操作をさせられてしまう可能性があり、11月26日にJVNで対策情報を公表しました。

3.ウェブサイトの脆弱性の処理状況

 2008年第4四半期のウェブサイトの脆弱性の処理状況は、IPAが通知を行い、ウェブサイト運営者が修正を完了したものは201件、ウェブサイト運営者が脆弱性ではないと判断したものは5件、ウェブサイト運営者と連絡が不可能なものが0件、告示で定める届出の対象に該当せず不受理としたものは15件(*16)でした。

 これらの取扱いを終了したものの合計は221件(累計1,607件)です(表3)。

表3.ウェブサイトの脆弱性の終了件数

分類 件数 累計件数
修正完了
201
1334
脆弱性ではない
5
167
連絡不可能
0
7
不受理
15
99
221
1,607


  これらのうち、修正完了件数の期別推移を図5に示します。

図5.ウェブサイトの脆弱性の修正完了件数

3.1 届出のあったウェブサイトの運営主体の内訳と脆弱性の種類

 今四半期に脆弱性の届出のあった対象ウェブサイトの運営主体別内訳は、地方公共団体が45%、企業合計が36%、政府機関が7%、教育・学術機関が5%、団体(協会・社団法人)が5%、個人が1%などとなっています(図6)(*17)

 また、今四半期に届出のあったウェブサイトの脆弱性の種類の内訳は、クロスサイト・スクリプティングが46%、DNS情報の設定不備(DNSキャッシュポイズニングの脆弱性)が36%、SQLインジェクションが10%、HTTPSの不適切な利用が3%、HTTPレスポンス分割が3%などとなっています(図7)(*17)

 広く知れ渡っている脆弱性が数多く届出られており、ウェブサイト開発者は既知の脆弱性を認識し、ウェブサイトの企画・設計段階からのセキュリティの考慮が必要です。

図6.ウェブサイトの運営主体、図7.ウェブサイトの脆弱性の種類

3.2 ウェブサイトの脆弱性で90日以上対策が未完了のものは258件

 IPAは、ウェブサイト運営者から脆弱性対策の返信がない場合、脆弱性が攻撃された場合の脅威を丁寧に解説するなど、1~2カ月毎にメールや郵送手段などで脆弱性対策を促しています。

 図8はウェブサイトの脆弱性で90日以上対策が完了していないものの経過日数毎の件数を示しています。経過日数が90日から199日に達したものは117件、200日から299日のものは60件などとなっており、これらの合計は258件(前四半期は179件)となりました。

 前四半期のものは38件減少しましたが、今四半期で新たに117件が90日以上となったため、79件が増加しています。

 ウェブサイトの情報が盗まれてしまう可能性のあるSQLインジェクションのように、深刻度の高い脆弱性でも修正が長期化しているものがあります。ウェブサイト運営者は脆弱性を攻撃された場合の脅威を認識し、早期に対策を講じる必要があります。

図8.修正が長期化しているウェブサイトの未修正の経過日数と脆弱性の種類

4. 脆弱性対策を完了したウェブサイト運営者からのアンケート集計結果

 IPAから脆弱性の通知を行い、脆弱性対策を完了したウェブサイト運営者へ、セキュリティ意識などのアンケートを実施しています。昨年7月から210件(約93%の回収率)の回答がありました。

 図9の棒グラフは、発見された脆弱性が「クロスサイト・スクリプティング」と「SQLインジェクション」であったと回答のあった70件に関して、その件数を、ウェブサイトを開発した時期別に示しています。

 また、折れ線グラフは、そのウェブサイト開発時に「セキュリティの意識があった」と回答のあった割合を示しています。2006年以前は30%程度だった「セキュリティ意識」は、2007-2008年に50%となりましたが、まだ低い状況です。

図9.ウェブサイトに内在していた脆弱性の種類とセキュリティ意識の推移

 図10の棒グラフは、脆弱性対策のアンケートに回答があったウェブサイトに関して、集客性、デザイン性、利用者の利便性、運営・管理の利便性、セキュリティのそれぞれの項目を意識して開発したか(複数回答有り)回答があった106件を、そのウェブサイトの運営者主体別に示しています。

 また、赤まる印は、そのウェブサイトを、「セキュリティ対策を行って開発した」と回答があった割合を示しています。

 脆弱性対策後のアンケートに回答があったウェブサイトのうち、非上場会社、団体(協会・社団法人)など、中小規模のウェブサイトにおいて、開発時に「セキュリティ対策を行っていない」と回答がありました。ウェブサイト開発時から適切なセキュリティを考慮した実装を行う必要があります。

 また、脆弱性対策後のアンケートに回答があったウェブサイトのうち、上場会社、地方公共団体、政府機関などは、ウェブサイト開発時に8割近くが「セキュリティ対策を行った」と回答があったにもかかわらず、脆弱性が発見されています。脆弱性は日々新たに発見されています。セキュリティ対策は開発時のみに行うのではなく、定期的な脆弱性検査を行う必要があります。

図10.ウェブサイト運営者主体別の意識と開発時のセキュリティ対策の有無

脚注

(*1)ソフトウェア等の脆弱性関連情報に関する届出制度:経済産業省告示に基づき、2004年7月より開始しました。IPAは届出受付・分析、JPCERT/CCは国内の製品開発者などの関連組織との調整を行っています。

(*2)コンピュータがネットワークのどこに接続されているかを示すIPアドレスという数字の集まりを、www.ipa.go.jp のような人に覚えやすいドメイン表記と対応させるための情報を管理する仕組みです。

(*3)複数のDNS実装にキャッシュポイズニングの脆弱性。
http://jvn.jp/cert/JVNVU800113/index.html

(*4)複数のDNSサーバ製品におけるキャッシュポイズニングの脆弱性に関する注意喚起。
https://www.jpcert.or.jp/at/2008/at080014.txt

(*5)「DNSキャッシュポイズニング対策」資料を活用下さい。
http://www.ipa.go.jp/security/vuln/DNS_security.html

(*6)SQLインジェクションによるWebサイト改ざんに関する注意喚起。
https://www.jpcert.or.jp/at/2008/at080005.txt

(*7)「SQLインジェクション検出ツールiLogScanner」を活用下さい。
http://www.ipa.go.jp/security/vuln/iLogScanner/

(*8)「安全なウェブサイトの作り方」を活用下さい。
http://www.ipa.go.jp/security/vuln/websecurity.html

(*9)脆弱性情報を一意に特定するための標準仕様で、脆弱性に対して共通の識別子(CVE-ID)を付与したリストです。米国の非営利団体のMITRE社が管理・運営しています。概要は「共通脆弱性識別子CVEの概説」を参照下さい。
http://www.ipa.go.jp/security/vuln/CVE.html

(*10)脆弱性対策情報ポータルサイト。国内で利用されている製品の脆弱性対策情報を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/

(*11)http://cve.mitre.org/data/refs/index.html#sources

(*12)http://cve.mitre.org/compatible/organizations.html#j

(*13)Computer Security Incident Response Team。コンピュータセキュリティインシデント対応チーム。コンピュータセキュリティに関するインシデント(事故)への対応・調整・サポートをする組織です。

(*14)本脆弱性の深刻度=レベルIII(危険)、CVSS基本値=7.5、別紙のP.4表1-2項番1と項番2を参照下さい。

(*15)本脆弱性の深刻度=レベルIII(危険)、CVSS基本値=7.0、別紙のP.4表1-2項番3を参照下さい。

(*16)今四半期の届出の中で不受理とした12件、先四半期までの届出の中で今四半期に不受理とした3件の合計です。

(*17)今四半期に届出のあった1,430件の中の不受理12件を除いた1,418件の内訳です。

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター 山岸/渡辺

Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。

JPCERT/CC 情報流通対策グループ 古田

Tel: 03-3518-4600 Fax: 03-3518-4602
E-mail: 電話番号:03-3518-4600までお問い合わせください。

更新履歴

2009年 3月27日 図6、図7の誤りを修正しました。
2009年 1月26日 掲載