ソフトウエア等の脆弱性関連情報に関する届出状況
[2009年第1四半期(1月〜3月)]
掲載日 2009年4月21日
独立行政法人 情報処理推進機構
セキュリティセンター
IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)およびJPCERT/CC(有限責任中間法人JPCERTコーディネーションセンター、代表理事:歌代 和正)は、2009年第1四半期(1月〜3月)の脆弱性関連情報の届出状況(*1)をまとめました。
今四半期(2009年1月1日から3月31日まで)に届出を受理したウェブサイトの脆弱性は821件でした。これらの脆弱性の種類は、DNS(*2)の設定不備(DNSキャッシュポイズニングの脆弱性)が343件(42%)、クロスサイト・スクリプティングが334件(41%)、SQLインジェクションが100件(12%)となっており、この3種類の脆弱性の合計で95%を占めています(図7)。
ウェブサイト運営者やDNSサーバの管理者、ウェブアプリケーションの開発者は、これらの脆弱性対策の促進が、特に必要です。
(1)DNSの設定不備の届出が継続(図10)
2008年7月に複数のDNSサーバ製品の開発ベンダーから対策情報が公開された、DNSキャッシュポイズニングの脆弱性に関するものです。この対策情報の公開後、「実際に運用されているDNSサーバが、この脆弱性対策を実施していないのでは?」という旨の届出が継続しています。
ウェブサイト運営者やDNSサーバの管理者は、「DNSキャッシュポイズニング対策(*3)」の資料を参考に、自組織が管理しているDNSサーバの脆弱性調査を行い、脆弱性が有る場合は、DNSサーバのパッチ適用や設定変更の早急な実施が必要です。
(2)クロスサイト・スクリプティング脆弱性の届出が継続(図11)
2000年頃に報告された古典的な脆弱性で、多様な攻撃手法が知られており、近年も届出が継続しています。ウェブページの軽微な「出力処理」の追加で脆弱性を作り込んでしまった事例や、脆弱性対策が誤っていた事例などがありました。
ウェブサイト開発者は、「安全なウェブサイトの作り方(*4)」の資料を参考に、クロスサイト・スクリプティング脆弱性への正しい対策が必要です。
(3)SQLインジェクション脆弱性の届出が継続(図12)
この脆弱性を悪用した攻撃により、ウェブサイトの情報の改ざんや非公開情報が公開されるなど、深刻な被害が発生しているものです。この被害報道と共に、「実際に運用されているウェブサイトにSQLインジェクションの脆弱性があるのでは?」という旨の届出が継続しています。
ウェブアプリケーションの開発者は、ウェブサーバのアクセスログ調査(*5)およびウェブサイトの脆弱性検査等を行い、脆弱性が存在する場合は、SQLインジェクション対策の早急な実施が必要です。
(4)届出受付開始からの累計が5,200件に達しました
2009年第1四半期のIPAへの脆弱性関連情報の届出件数は、ソフトウェア製品に関するもの51件、ウェブアプリケーション(ウェブサイト)に関するもの825件、合計876件でした。
届出受付開始(2004年7月8日)からの累計は、ソフトウェア製品に関するもの912件、ウェブサイトに関するもの4,339件、合計5,251件となりました。ウェブサイトに関する届出が全体の83%を占めています(表1)。
表1.2009年第1四半期の届出件数
| 分類 | 届出件数 | 累計件数 |
|---|---|---|
| ソフトウェア製品 | 51 件 |
912 件 |
| ウェブサイト | 825 件 |
4,339 件 |
| 計 | 876 件 |
5,251 件 |
届出が年々増加しており、届出受付開始(2004年7月8日)から2008年1Qまでの約4年間で2,045件でしたが、2008年度(2008年2Q〜2009年1Q)に3,206件の届出があり、累計で5,251件に達しました。また、1就業日あたりの届出件数は今四半期末で4.55件となりました(図1)。
これは、2008年3QごろからDNSの設定不備、SQLインジェクションの脆弱性の届出が増加し、また、2008年4Qに一時的にクロスサイト・スクリプティングの脆弱性の届出が激増したためです。
届出件数(2004年7月8日の届出受付開始から各四半期末時点)
| 2006/1Q | 2007/1Q | 2008/1Q | 2Q | 3Q | 4Q | 2009/1Q | |
|---|---|---|---|---|---|---|---|
| 累計届出件数[件] | 685 | 1,310 | 2,045 | 2,322 | 2,885 | 4,375 | 5,251 |
| 1就業日あたり[件/日] | 1.61 | 1.95 | 2.24 | 2.38 | 2.79 | 4.00 | 4.55 |
1.ソフトウェア製品の脆弱性の処理状況
2009年第1四半期のソフトウェア製品の脆弱性の処理状況は、JPCERT/CCが調整を行い、製品開発者が脆弱性の修正を完了し、JVNで対策情報を公表したものは16件(累計337件)でした。
製品開発者からの届出のうちJVNで公表せず製品開発者が個別対応を行ったものは1件、製品開発者が脆弱性ではないと判断したものは0件、告示で定める届出の対象に該当せず不受理としたものは3件でした。これらの取扱いを終了したものの合計は20件(累計524件)です(表2)。
この他、海外のCSIRT(*6)からJPCERT/CCが連絡を受けた15件(累計407件)をJVNで公表しました。これらの、公表済み件数の期別推移を図2に示します。
表2.ソフトウェア製品の脆弱性の終了件数
| 分類 | 分類 | 件数 | 累計件数 |
|---|---|---|---|
| 修正完了 | 公表済み | 16 件 |
337 件 |
| 個別対応 | 1 件 |
17 件 |
|
| 脆弱性ではない | 0 件 |
35 件 |
|
| 不受理 | 3 件 |
135 件 |
|
| 計 | 20 件 |
524 件 |
|
1.1 今四半期にJVNで対策情報を公表した主な脆弱性
(1)複数のfutomi's CGI Cafe 製のソフトウェアにおける管理者権限奪取の脆弱性(*7)
ウェブサイト用検索ソフトやメールフォームソフトなど、複数のfutomi's CGI Cafe 製のソフトウェアに、管理者権限が奪取可能である脆弱性が存在しました。
この脆弱性が悪用されると、第三者によりそれぞれのソフトウェアの管理者になりすまされる可能性があり、1月23日、3月10日、3月31日にJVNで対策情報を公表しました。
(2)「Becky! Internet Mail」におけるバッファオーバーフローの脆弱性(*8)
有限会社リムアーツが提供する、メールを送受信するためのソフトウェアBecky! Internet Mailの機能に、バッファオーバーフローの脆弱性が存在しました。
この脆弱性が悪用されると、メール送信者がメール受信者に対してメールの開封確認要求を行い、メール受信者が開封確認要求に応答した際に任意のコードが実行されてしまう可能性があり、2月12日にJVNで対策情報を公表しました。
(3)ソニー製ネットワークカメラSNCシリーズのActiveXコントロールにおけるバッファオーバーフローの脆弱性(*9)
ソニー株式会社が提供する、ネットワークカメラSNCシリーズのActiveXコントロールに、ヒープバッファオーバーフローの脆弱性が存在しました。
この脆弱性が悪用されると、ウェブブラウザからActiveXコントロールを利用したコンピュータ上で、任意のコードが実行されてしまう可能性があり、2月23日にJVNで対策情報を公表しました。
この脆弱性情報は、製品開発者自身からIPAに届出があり、JPCERT/CCが製品開発者と調整を行ない公表したものです。今後も、JVNが製品開発者によって、脆弱性対策情報の利用者への周知手段として活用されることを期待します。
1.2 組込みソフトウェアの脆弱性対策情報の公表状況
図3に示すように、今四半期は「Cisco IOSにおけるクロスサイト・スクリプティングの脆弱性(*10)」と「ソニー製ネットワークカメラSNCシリーズのActiveXコントロールにおけるバッファオーバーフローの脆弱性」の2件の脆弱性対策情報の公表を行い、累計で23件となりました。
組込みソフトウェアの内訳は、図4に示すように、ルータやスイッチなどのネットワーク機器が9件、プリンタやハードディスクなどの周辺機器が5件、携帯電話や携帯端末などの携帯機器が5件、DVDレコーダやネットワークカメラなどの情報家電が4件となっています。
今後、インターネットに接続される情報家電が増えると、組込みソフトウェアの脆弱性を狙う攻撃の顕在化が予測されます。組込み機器ではパッチの適用が困難なケースもあり、組込みソフトウェアの開発者は、製品の開発段階からセキュリティの考慮が必要です。
2.ウェブサイトの脆弱性の処理状況
2.1 届出の処理状況
2009年第1四半期のウェブサイトの脆弱性の処理状況は、IPAが通知を行い、ウェブサイト運営者が修正を完了したものは174件(累計1,508件)、IPAおよびウェブサイト運営者が脆弱性ではないと判断したものは5件、ウェブサイト運営者と連絡が不可能なものが0件、告示で定める届出の対象に該当せず不受理としたものは5件(*11)でした。
これらの取扱いを終了したものの合計は184件(累計1,791件)です(表3)。これらのうち、修正完了件数の期別推移を図5に示します。
表3.ウェブサイトの脆弱性の終了件数
| 分類 | 件数 | 累計件数 |
|---|---|---|
| 修正完了 | 174 件 |
1508 件 |
| 脆弱性ではない | 5 件 |
172 件 |
| 連絡不可能 | 0 件 |
7 件 |
| 不受理 | 5 件 |
104 件 |
| 計 | 184 件 |
1,791 件 |
2.2 届出のあった対象ウェブサイトの運営主体の内訳と脆弱性の種類
今四半期に脆弱性の届出を受理した対象ウェブサイト(*12)の運営主体別内訳は、企業合計が344件(42%)、地方公共団体が277件(34%)、団体(協会・社団法人)が79件(10%)、教育・学術機関が48件(6%)、政府機関が36件(4%)などとなっています(図6)。
また、これらの脆弱性の種類は、DNSの設定不備(DNSキャッシュポイズニングの脆弱性)が343件(42%)、クロスサイト・スクリプティングが334件(41%)、SQLインジェクションが100件(12%)などとなっています(図7)。
ウェブサイト開発者は、広く知れ渡っている脆弱性を作り込まないような技術スキルを身につけたうえで、ウェブサイトの企画・設計にあたることが必要です。
なお、クロスサイト・スクリプティング334件のうち25件は、2004年12月に脆弱性対策情報が公表された「Namazuにおけるクロスサイト・スクリプティングの脆弱性」のパッチ未適用のウェブサイトに対する届出です(*13)。
ウェブサイト運営者は、自組織のウェブサイトが使用しているソフトウェアの脆弱性対策情報を収集し、未対策の場合はパッチの迅速な適用が必要です。
2.3 届出のあった対象ウェブサイトの運営者の半数が重要インフラ事業者等
今四半期に脆弱性の届出を受理した対象ウェブサイトを、重要インフラ(情報通信、金融、電力、航空など)の業種で分類すると、政府・行政サービスが294件、情報通信が88件、医療が27件、金融が12件などとなっており、届出の約半数を占めています(図8)。なお、それらの脆弱性の種類の割合(図9)は、全体での割合(図7)とあまり変わりがありません。
2.4 DNSキャッシュポイズニングの脆弱性の届出が継続
図10はDNSキャッシュポイズニング脆弱性の月別の届出件数と3月末現在の対策状況です。2008年4月から2009年3月まで(2008年度)の届出の累計は1,131件で、216件は取扱い終了(ウェブサイトが修正完了)しましたが、現時点で取扱い中(ウェブサイトが対策中)のものが915件あります。
2.5 クロスサイト・スクリプティング脆弱性の届出が継続
図11はクロスサイト・スクリプティング脆弱性の月別の届出件数と3月末現在の対策状況です。2008年度の届出の累計は1,225件で、217件は取扱い終了(ウェブサイトが修正完了)しましたが、現時点で取扱い中(ウェブサイトが対策中)のものが1,008件あります。
2.6 SQLインジェクション脆弱性の届出が継続
図12はSQLインジェクション脆弱性の月別の届出件数と3月末現在の対策状況です。2008年度の届出の累計は318件で、43件は取扱い終了(ウェブサイトが修正完了)しましたが、現時点で取扱い中(ウェブサイトが対策中)のものが275件あります。
2.7 ウェブサイトの脆弱性で90日以上対策が未完了のものは592件
IPAは、ウェブサイト運営者から脆弱性対策の返信がない場合、脆弱性が攻撃された場合の脅威を丁寧に解説するなど、1〜2カ月毎にメールや郵送手段などで脆弱性対策を促しています。
図13はウェブサイトの脆弱性で90日以上対策が完了していないものの経過日数毎の件数を示しています。経過日数が90日から199日に達したものは369件、200日から299日のものは74件などとなっており、これらの合計は592件(前四半期は258件)となりました。
前四半期のものは35件減少しましたが、今四半期で新たに369件が90日以上となったため、334件が増加しています。
ウェブサイトの情報が盗まれてしまう可能性のあるSQLインジェクションのように、深刻度の高い脆弱性でも修正が長期化しているものがあります。ウェブサイト運営者は脆弱性を攻撃された場合の脅威を認識し、早期に対策を講じる必要があります。
脚注
(*1)ソフトウェア等の脆弱性関連情報に関する届出制度:経済産業省告示に基づき、2004年7月より開始しました。IPAは届出受付・分析、JPCERT/CCは国内の製品開発者などの関連組織との調整を行っています。
(*2)Domain Name System。コンピュータがネットワークのどこに接続されているかを示すIPアドレスという数字の集まりを、www.ipa.go.jpのような人に覚えやすいドメイン表記と対応させるための情報を管理する仕組みです。
(*3)「DNSキャッシュポイズニング対策」:
http://www.ipa.go.jp/security/vuln/DNS_security.html
(*4)「安全なウェブサイトの作り方」:
http://www.ipa.go.jp/security/vuln/websecurity.html
(*5)「SQLインジェクション検出ツールiLogScanner」:
http://www.ipa.go.jp/security/vuln/iLogScanner/
(*6)Computer Security Incident Response Team。コンピュータセキュリティインシデント対応チーム。コンピュータセキュリティに関するインシデント(事故)への対応・調整・サポートをする組織です。
(*7)本脆弱性の深刻度=レベルIII(危険)、CVSS基本値=7.5、別紙P.8表1-2項番1、2、3を参照下さい。
(*8)本脆弱性の深刻度=レベルII(警告)、CVSS基本値=6.8、別紙P.9表1-2項番8を参照下さい。
(*9)本脆弱性の深刻度=レベルII(警告)、CVSS基本値=6.8、別紙P.9表1-2項番9を参照下さい。
(*10)本脆弱性の深刻度=レベルII(警告)、CVSS基本値=4.3、別紙P.9表1-2項番7を参照下さい。
(*11)今期の届出の中で不受理とした4件、先期までの届出の中で今期に不受理とした1件の合計です。
(*12)今四半期に届出のあった825件の中の不受理4件を除いた821件の内訳です。
(*13)「古いソフトウェア製品を利用しているウェブサイトへの注意喚起」:
http://www.ipa.go.jp/security/vuln/documents/2009/200903_update.html
