ソフトウェア等の脆弱性関連情報に関する届出状況
[2009年第2四半期(4月〜6月)]
〜2004年7月8日の届出受付開始から5年が経過し、
届出件数の累計が5,660件となりました〜
掲載日 2009年7月22日
独立行政法人情報処理推進機構
セキュリティセンター
IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)およびJPCERT/CC(一般社団法人JPCERTコーディネーションセンター、代表理事:歌代 和正)は、2009年第2四半期(4月〜6月)の脆弱性関連情報の届出状況(*1)をまとめました。
(1)クロスサイト・スクリプティング、DNSキャッシュポイズニング、SQLインジェクションの脆弱性の届出が継続しています
今四半期(2009年4月1日から6月30日まで)に届出を受理したウェブサイトの脆弱性は383件でした。これらの脆弱性の種類は、クロスサイト・スクリプティングが168件(44%)、DNS(*2)の設定不備(DNSキャッシュポイズニングの脆弱性)が107件(28%)、SQLインジェクションが48件(13%)となっており、この3種類の脆弱性の合計で85%を占めています(図9)。
ウェブサイト運営者やDNSサーバの管理者、ウェブアプリケーションの開発者は、これらの脆弱性の確認と対策の実施が、特に必要です(図10、図11、図12)。
(2)過去1年間の届出に対して58%のウェブサイトの運営者が対応未完了です
過去1年間(2008年第3四半期〜2009年第2四半期)に脆弱性の届出を受理したもののうち、IPAからウェブサイト運営者に脆弱性情報を連絡し、対策を依頼したものは2,014件でした。対策を依頼したものの6月末現在の状況は、ウェブサイト運営者が対応未完了のものは1,177件(58%)、修正が完了したものは821件(41%)、その他(脆弱性では無いもの)は16件(1%)となっています(図1)。
ウェブサイト運営主体毎の対処未了率は、企業(株式・上場、株式・非上場)が61%、企業(その他)が71%、地方公共団体が55%、団体(協会・社団法人)が68%、教育・学術機関が64%、政府機関が38%などとなっています(図2)。
IPAとしては、IPAから脆弱性情報の連絡を受けたウェブサイトの運営者に対し、迅速かつ適切な脆弱性修正作業を実施することを強く望みます。
(3)2004年7月8日の届出受付開始から5年が経過し、届出件数の累計が5,660件となりました
2009年第2四半期のIPAへの脆弱性関連情報の届出件数は、ソフトウェア製品に関するもの43件、ウェブアプリケーション(ウェブサイト)に関するもの386件、合計429件でした。 届出受付開始(2004年7月8日)からの累計は、ソフトウェア製品に関するもの955件、ウェブサイトに関するもの4,705件、合計5,660件となりました。ウェブサイトに関する届出が全体の83%を占めています(表1)。
表1.2009年第2四半期の届出件数
| 分類 | 届出件数 | 累計件数 |
|---|---|---|
| ソフトウェア製品 | 43 件 |
955 件 |
| ウェブサイト | 386 件 |
4,705 件 |
| 計 | 429 件 |
5,660 件 |
2004年7月8日(2004年第3四半期)の届出受付開始から5年が経過し、2009年第2四半期までの届出件数の累計が5,660件となりました。届出が年々増加しており、近年の1年間(2008年第3四半期〜2009年第2四半期)に3,338件の届出があり、制度として着実に浸透してきています。また、1就業日あたりの届出件数は2009年第2四半期末で4.66件となりました(図3)。
これは、2008年第3四半期ごろからDNSの設定不備、SQLインジェクションの脆弱性の届出が増加し、また、2008年第4四半期に一時的にクロスサイト・スクリプティングの脆弱性の届出が激増したためです。
届出件数(2004年7月8日の届出受付開始から各四半期末時点)
| 2006/1Q | 2007/1Q | 2008/1Q | 2009/1Q | 2Q | |
|---|---|---|---|---|---|
| 累計届出件数[件] | 685 |
1,310 |
2,045 |
5,251 |
5,660 |
| 1就業日あたり[件/日] | 1.61 |
1.95 |
2.24 |
4.55 |
4.66 |
1.ソフトウェア製品の脆弱性の処理状況
2009年第2四半期のソフトウェア製品の脆弱性の処理状況は、JPCERT/CCが調整を行い、製品開発者が脆弱性の修正を完了し、JVNで対策情報を公表したものが30件(累計367件)、製品開発者が個別対応を行ったものは0件(累計17件)、製品開発者が脆弱性ではないと判断したものは0件(累計35件)、告示で定める届出の対象に該当せず不受理としたものは8件(*3)(累計143件)でした。これらの取扱いを終了したものの合計は38件(累計562件)です(表2)。
この他、海外のCSIRT(*4)からJPCERT/CCが連絡を受けた15件(累計422件)をJVNで公表しました。これらの、公表済み件数の期別推移を図4に示します。
表2.ソフトウェア製品の脆弱性の終了件数
| 分類 | 分類 | 件数 | 累計件数 |
|---|---|---|---|
| 修正完了 | 公表済み | 30 件 |
367 件 |
| 個別対応 | 0 件 |
17 件 |
|
| 脆弱性ではない | 0 件 |
35 件 |
|
| 不受理 | 8 件 |
143 件 |
|
| 計 | 38 件 |
562 件 |
|
1.1 今四半期にJVNで対策情報を公表した主な脆弱性
(1)複数のCisco Systems製品におけるディレクトリ・トラバーサルの脆弱性(*5)
複数のCisco Systems製品に組み込まれている管理サービス「CiscoWorks Common Services」に、ディレクトリ・トラバーサルの脆弱性がありました。このため、遠隔の第三者により、サーバ内にある任意のファイルを閲覧されたり、改ざんされたりする可能性があり、5月29日にJVNで対策情報を公表しました。
(2)「iPhone OS」におけるサービス運用妨害(DoS)の脆弱性(*6)
Appleが提供する「iPhone OS」に、サービス運用妨害(DoS)の脆弱性がありました。このため、遠隔の第三者により不正なリクエストを送られることで、「iPhone」および「iPod touch」がユーザからの操作を受け付けない状態などに陥る可能性があり、6月18日にJVNで対策情報を公表しました。
(3)「一太郎シリーズ」におけるバッファオーバーフローの脆弱性(*7)
ジャストシステムが提供する「一太郎シリーズ」に、バッファオーバーフローの脆弱性がありました。このため、ウェブサイト等でファイルを見るだけで、利用者のコンピュータ上で任意のコードを実行される可能性があり、4月7日にJVNで対策情報を公表しました。
(4)「Microsoft Worksコンバーター」におけるバッファオーバーフローの脆弱性(*8)
「Microsoft Worksコンバーター」に、バッファオーバーフローの脆弱性がありました。このため、利用者のコンピュータ上で任意のコードを実行される可能性があり、6月11日にJVNで対策情報を公表しました。
1.2 組込みソフトウェアの脆弱性対策情報の公表状況
図5に示すように、今四半期は「iPhone OSにおけるサービス運用妨害(DoS)の脆弱性」の1件の脆弱性対策情報の公表を行い、累計で23件となりました。
組込みソフトウェアの内訳は、機器別に見ると図6に示すように、ルータが7件、プリンタやハードディスクなどの周辺機器が6件、携帯電話や携帯端末などの携帯機器が5件、DVDレコーダやネットワークカメラなどの情報家電が3件、IP電話が1件、ネットワーク・アプライアンスに組込まれたSSL-VPNソフトが1件となっています。
今後、インターネットに接続される情報家電が増えると、組込みソフトウェアの脆弱性を狙う攻撃の顕在化が予測されます。組込み機器ではパッチの適用が困難なケースもあり、組込みソフトウェアの開発者は、製品の開発段階で脆弱性を作り込まない配慮が必要です。
2.ウェブサイトの脆弱性の処理状況
2009年第2四半期のウェブサイトの脆弱性の処理状況は、IPAが通知を行い、ウェブサイト運営者が修正を完了したものは480件(累計1,988件)、IPAおよびウェブサイト運営者が脆弱性ではないと判断したものが10件、ウェブサイト運営者と連絡が不可能なものが0件、告示で定める届出の対象に該当せず不受理としたものは5件(*9)でした。
これらの取扱いを終了したものの合計は495件(累計2,286件)です(表3)。これらのうち、修正完了件数の期別推移を図7に示します。
表3.ウェブサイトの脆弱性の終了件数
| 分類 | 件数 | 累計件数 |
|---|---|---|
| 修正完了 | 480 件 |
1,988 件 |
| 脆弱性ではない | 10 件 |
182 件 |
| 連絡不可能 | 0 件 |
7 件 |
| 不受理 | 5 件 |
109 件 |
| 計 | 495 件 |
2,286 件 |
2.1 届出のあった対象ウェブサイトの運営主体の内訳と脆弱性の種類
今四半期に脆弱性の届出を受理した383件の対象ウェブサイト(*10)の運営主体別内訳は、企業合計が224件(58.5%)、地方公共団体が75件(19.5%)、団体(協会・社団法人)が34件(9%)、教育・学術機関が23件(6%)、政府機関が20件(5%)などとなっています(図8)。
また、これらの脆弱性の種類は、クロスサイト・スクリプティングが168件(44%)、DNSの設定不備(DNSキャッシュポイズニングの脆弱性)が107件(28%)、SQLインジェクションが48件(12.5%)などとなっています(図9)。
ウェブサイト開発者は、広く知れ渡っている脆弱性を作り込まないような技術スキルを身につけたうえで、ウェブサイトの企画・設計にあたることが必要です。
また、クロスサイト・スクリプティング168件のうち11件は「Namazuにおけるクロスサイト・スクリプティングの脆弱性」、HTTPSの不適切な利用37件は「OpenSSLにおけるバージョン・ロールバックの脆弱性」です。これらは2009年3月に注意喚起を行ったパッチ未適用のウェブサイトに対する届出です(*11)。
ウェブサイト運営者は、自組織のウェブサイトが使用しているソフトウェアの脆弱性対策情報を収集し、未対策の場合はパッチの迅速な適用が必要です。
2.2 クロスサイト・スクリプティング脆弱性の届出が継続
クロスサイト・スクリプティング脆弱性は、2000年頃に報告された古典的な脆弱性で、多様な攻撃手法が知られており、近年も届出が継続しています。ウェブページの軽微な「出力処理」の追加で脆弱性を作り込んでしまった事例や、脆弱性対策が誤っていた事例などがありました。
図10はクロスサイト・スクリプティング脆弱性の月別の届出件数と6月末現在の対策状況です。2008年4月から2009年6月までの届出の累計は1,392件で、428件は取扱い終了(ウェブサイトが修正完了)しましたが、現時点で取扱い中(ウェブサイトが対策中)のものが964件あります。
ウェブアプリケーションの開発者は、「安全なウェブサイトの作り方(*12)」の資料を参考に、クロスサイト・スクリプティング脆弱性への正しい対策が必要です。
2.3 DNSキャッシュポイズニングの脆弱性の届出が継続
2008年7月に複数のDNSサーバ製品の開発ベンダーから、DNSキャッシュポイズニングの脆弱性の対策情報が公開されました。この対策情報の公開後、「実際に運用されているDNSサーバが、この脆弱性対策を実施していないのでは?」という旨の届出が継続しています。
図11はDNSキャッシュポイズニング脆弱性の月別の届出件数と6月末現在の対策状況です。2008年4月から2009年6月までの届出の累計は1,218件で、406件は取扱い終了(ウェブサイトが修正完了)しましたが、現時点で取扱い中(ウェブサイトが対策中)のものが812件あります。
ウェブサイト運営者やDNSサーバの管理者は、「DNSキャッシュポイズニング対策(*13)」の資料を参考に、自組織が管理しているDNSサーバの脆弱性調査を行い、脆弱性が有る場合は、DNSサーバのパッチ適用や設定変更の早急な実施が必要です。
2.4 SQLインジェクション脆弱性の届出が継続
近年、SQLインジェクション脆弱性を悪用した攻撃により、ウェブサイトの情報の改ざんや非公開情報が公開されるなど、深刻な被害が発生しています。この被害報道と共に、「実際に運用されているウェブサイトにSQLインジェクションの脆弱性があるのでは?」という旨の届出が継続しています。
図12はSQLインジェクション脆弱性の月別の届出件数と6月末現在の対策状況です。2008年4月から2009年6月までの届出の累計は366件で、89件は取扱い終了(ウェブサイトが修正完了)しましたが、現時点で取扱い中(ウェブサイトが対策中)のものが277件あります。
ウェブサイト運営者は、ウェブサーバのアクセスログ調査(*14)およびウェブサイトの脆弱性検査等を行い、脆弱性が存在する場合は、SQLインジェクション対策の早急な実施が必要です。
2.5 ウェブサイトの脆弱性で90日以上対策が未完了のものは1,021件
IPAは、ウェブサイト運営者から脆弱性対策の返信がない場合、脆弱性が攻撃された場合の脅威を丁寧に解説するなど、1〜2カ月毎にメールや郵送手段などで脆弱性対策を促しています。
図13はウェブサイトの脆弱性で90日以上対策が完了していないものの経過日数毎の件数を示しています。経過日数が90日から199日に達したものは545件、200日から299日のものは267件などとなっており、これらの合計は1021件(前四半期は592件)となりました。前四半期のものは104件減少しましたが、今四半期で新たに533件が90日以上となったため、429件が増加しています。
ウェブサイトの情報が盗まれてしまう可能性のあるSQLインジェクションのように、深刻度の高い脆弱性でも修正が長期化しているものがあります。ウェブサイト運営者は脆弱性を攻撃された場合の脅威を認識し、迅速な対策を講じる必要があります。
なお、脆弱性関連情報の取扱いの効率化を図るため、2009年7月8日の「情報セキュリティ早期警戒パートナーシップガイドラインの改訂(*15)」で、このような一定期間にわたり的確な答えが無い場合、その脆弱性の影響範囲や取扱い期間を考慮して取扱いを終了することとなりました。1年を経過したものは、順次、その脆弱性の影響範囲を考慮し、取扱いを終了する予定です。
脚注
(*1)ソフトウェア等の脆弱性関連情報に関する届出制度:経済産業省告示に基づき、2004年7月より開始しました。IPAは届出受付・分析、JPCERT/CCは国内の製品開発者などの関連組織との調整を行っています。
(*2)Domain Name System。コンピュータがネットワークのどこに接続されているかを示すIPアドレスという数字の集まりを、www.ipa.go.jpのような人に覚えやすいドメイン表記と対応させるための情報を管理する仕組みです。
(*3)今四半期の届出の中で不受理とした6件、前期までの届出の中で今期に不受理とした2件の合計です。
(*4)Computer Security Incident Response Team。コンピュータセキュリティインシデント対応チーム。コンピュータセキュリティに関するインシデント(事故)への対応・調整・サポートをする組織です。
(*5)本脆弱性の深刻度=レベルIII(危険)、CVSS基本値=10.0、別紙P.9表1-2項番1を参照下さい。
(*6)本脆弱性の深刻度=レベルIII(危険)、CVSS基本値=7.8、別紙P.9表1-2項番2を参照下さい。
(*7)本脆弱性の深刻度=レベルII(警告)、CVSS基本値=6.8、別紙P.10表1-2項番4を参照下さい。
(*8)本脆弱性の深刻度=レベルII(警告)、CVSS基本値=6.8、別紙P.11表1-2項番21を参照下さい。
(*9)今期の届出の中で不受理とした3件、先期までの届出の中で今期に不受理とした2件の合計です。
(*10)今四半期に届出のあった386件の中の不受理3件を除いた383件の内訳です。
(*11)「古いソフトウェア製品を利用しているウェブサイトへの注意喚起」:
http://www.ipa.go.jp/security/vuln/documents/2009/200903_update.html
(*12)「安全なウェブサイトの作り方」:
http://www.ipa.go.jp/security/vuln/websecurity.html
(*13)「DNSキャッシュポイズニング対策」:
http://www.ipa.go.jp/security/vuln/DNS_security.html
(*14)「SQLインジェクション検出ツールiLogScanner」:
http://www.ipa.go.jp/security/vuln/iLogScanner/
(*15)情報セキュリティ早期警戒パートナーシップガイドライン。
http://www.ipa.go.jp/security/ciadr/partnership_guide.html
