〜ウェブサイト運営者は脆弱性の修正に関して、十分な確認を！〜

• 届出状況の詳細（本文および別紙1、2）は次のPDFファイルをご参照ください。
• ソフトウェア等の脆弱性関連情報に関する届出状況
  [2009年第3四半期（7月〜9月）]（1.04MB）
• 以下は本文および別紙1の抜粋です。

(1)ウェブサイト運営者は脆弱性の修正に関して、十分な確認が必要です

　IPAがウェブサイト運営者に脆弱性の存在を指摘し、運営者が脆弱性を修正後、脆弱性の発見者に修正完了の報告を行った際、2009年1月から9月末までの修正完了779件のうち、発見者から120件（15%）の再指摘がありました（図1）。

　その内訳は「修正不十分」が69件（9%）、「別の個所に脆弱性が存在」が51件（6%）でした。

　ウェブサイトの運営主体毎に算出した再指摘の割合をみると、個人（57%）、企業（23%）、団体（協会・社団法人、16%）などが高くなっています（図2）。

　「修正不十分」の脆弱性の種類はクロスサイト・スクリプティングが48件（70%）、SQLインジェクションが10件（14%）、DNS情報の設定不備が8件（12%）、HTTPレスポンス分割が3件（4%）となっています（図3）。「別の個所に脆弱性が存在」は、それぞれ45件（88%）、4件（8%）、1件（2%）、1件（2%）となっています（図4）。

　クロスサイト・スクリプティングの脆弱性は、情報を出力する処理に起因することが多く、一般的に、ウェブアプリケーションには出力処理が多数あることから、SQLインジェクションやDNS情報の設定不備の脆弱性と比較して、修正した以外の箇所にも同様の脆弱性が存在する傾向があります。

　脆弱性を修正する場合、脆弱性の修正の確認を十分にするとともに、別の箇所に、同様な脆弱性が存在していないかの確認も併せて実施してください。

　特にクロスサイト・スクリプティングのような、別の箇所に存在する可能性が高い脆弱性は、指摘された箇所を修正するだけでなく、ウェブサイト全体について確認する必要があります。場合によっては、設計に遡り見直すことも必要です。

(2)届出件数の累計が5,826件となりました

　2009年第3四半期のIPAへの脆弱性関連情報の届出件数は、ソフトウェア製品に関するもの39件、ウェブアプリケーション（ウェブサイト）に関するもの131件、合計170件でした（表1）。

表1．2009年第3四半期の届出件数

　届出受付開始（2004年7月8日）からの累計は、ソフトウェア製品に関するもの994件、ウェブサイトに関するもの4,832件^(*2)、合計5,826件となりました（表1）。ウェブサイトに関する届出が全体の83%を占めています（図5）。

　2008年第3四半期ごろからDNSの設定不備、SQLインジェクションの脆弱性の届出が増加し、2008年第4四半期に一時的にクロスサイト・スクリプティングの届出が激増しましたが、近年はウェブサイトに関する届出が減少傾向です。

　1就業日あたりの届出件数は2009年第3四半期末で4.56件となりました（表2）。

表2．届出件数（2004年7月8日の届出受付開始から各四半期末時点）

1.ソフトウェア製品の脆弱性の処理状況

　2009年第3四半期のソフトウェア製品の脆弱性の処理状況は、JPCERT/CCが調整を行い、製品開発者が脆弱性の修正を完了し、JVNで対策情報を公表したものが17件（累計384件）、製品開発者が個別対応を行ったものは0件（累計17件）、製品開発者が脆弱性ではないと判断したものは0件（累計35件）、告示で定める届出の対象に該当せず不受理としたものは5件^(*3)（累計148件）でした。これらの取扱いを終了したものの合計は22件（累計584件）です（表3）。

　この他、海外のCSIRT^(*4)からJPCERT/CCが連絡を受けた19件（累計441件）をJVNで公表しました。これらの、公表済み件数の期別推移を図6に示します。

表3．ソフトウェア製品の脆弱性の終了件数

 

1.1 JVNで公表した主な脆弱性対策情報

　今四半期は、「FreeNAS」におけるクロスサイト・リクエスト・フォージェリの脆弱性^(*5)、「ATOK」におけるスクリーンロックの制限回避が可能な脆弱性^(*6)、「SugarCRM」における SQL インジェクションの脆弱性^(*7)、「Microsoft Windows」におけるバッファオーバーフローの脆弱性^(*8)などの脆弱性対策情報をJVNで公表しました。

1.2 JVNがCVE互換の認定プロセスに入りました

　共通脆弱性識別子CVE（Common Vulnerabilities and Exposures）^(*9)は、個別製品の脆弱性を対象とした識別子です。MITRE社では、CERT/CCやHP、IBM、OSVDB、Red Hat、Symantecなど80を超える組織と連携し、脆弱性情報の収集と重複のない採番を行っています。1999年の運用開始以来、2009年9月29日に10周年を迎えました。

　IPAとJPCERT/CCが共同で運営しているJVN（Japan Vulnerability Notes）^(*10)も連携に参画しており「CVE情報源サイト」の一つとして掲載されています^(*11)。

　CVEとの連携の意思を明確に示すため、2008年12月にJVNの「CVE互換宣言」を行いました。さらに、2009年9月に、「CVE互換」の認定を受けるため「CVE互換要件評価フォーム」をMITRE社へ提出しました^(*12)。審査終了後、「CVE互換」が認定される予定です。
http://cve.mitre.org/compatible/questionnaires/104.html

　今後も共通基準の導入を進めることにより、国内外の脆弱性対策情報流通の促進を図ると共に、利用者側の客観的・効率的な脆弱性対策を目指した利活用基盤を整備していきます。

2.ウェブサイトの脆弱性の処理状況

　2009年第3四半期のウェブサイトの脆弱性の処理状況は、IPAが通知を行い、ウェブサイト運営者が修正を完了したものは235件（累計2,223件）、IPAが注意喚起等を行い処理を終了したものは328件、IPAおよびウェブサイト運営者が脆弱性ではないと判断したものが9件、ウェブサイト運営者と連絡が不可能なものが4件、告示で定める届出の対象に該当せず不受理としたものは15件^(*13)でした。

　これらの取扱いを終了したものの合計は591件（累計2,877件）です（表4）。これらのうち、修正完了件数の期別推移を図7に示します。

表4．ウェブサイトの脆弱性の終了件数

 

2.1 届出のあった対象ウェブサイトの運営主体の内訳と脆弱性の種類

　今四半期に脆弱性の届出を受理した131件の対象ウェブサイトの運営主体別内訳は、企業合計が99件（76%）、団体（協会・社団法人）が13件（10%）、地方公共団体が8件（6%）、個人が3件（2%）、その他、不明が8件（6%）（図8）となっています。

　また、これらの脆弱性の種類は、DNSの設定不備（DNSキャッシュポイズニングの脆弱性）が88件（67%）、クロスサイト・スクリプティングが19件（15%）、HTTPSの不適切な利用が6件（5%）などとなっています（図9）。

　ウェブサイト開発者は脆弱性を作りこまないようなウェブサイトの企画・設計にあたることが必要です。届出件数の多い、広く知れ渡っている脆弱性は悪意のある第三者に発見される可能性も高いです。

2.2 古いバージョンのソフトウェアを使い続けているウェブサイトへの注意喚起を実施

　2008年頃より、ソフトウェア製品を利用しているウェブサイトに対して「製品開発者から既に脆弱性対策を施したバージョンが公表されているにも関わらず、古いバージョンを使い続けている」という旨の届出が増加しています。

　今四半期には、「EC-CUBEの古いバージョンを利用しているウェブサイトへの注意喚起^(*14)」及び「Namazuの古いバージョンを利用しているウェブサイトへの注意喚起^(*15)」を実施しました。

　クロスサイト・スクリプティングの脆弱性が指摘された古い「EC-CUBE」を利用しているウェブサイトに対する届出では、中小規模の企業（株式・上場以外のその他）の占める割合が92%（図10）、古い「Namazu」を利用しているウェブサイトに対する届出では、教育・学術機関の占める割合が16%、地方公共団体が27%となっています（図11）。

　クロスサイト・スクリプティング全体では、それぞれの占める割合が45%、5%、17%となっていますので、中小規模の企業、教育・学術機関、地方公共団体で当該製品を使い続けている割合が高いようです（図12）。

　この他、今四半期には「OpenSSLの古いバージョンを利用しているウェブサイトへの注意喚起^(*16)」も行いました。

　近年、脆弱性の公表から、その脆弱性を狙った攻撃が発生するまでの間隔が短くなっています。ソフトウェア製品を運用するウェブサイトの運営者も、そのソフトウェア製品を狙った攻撃を受ける可能性や、攻撃が実際の被害に結び付く可能性が高まっています。

　ウェブサイト運営者は、自組織のウェブサイトが使用しているソフトウェア製品を把握し、その脆弱性対策情報を収集してください。未対策の脆弱性があった場合、パッチの適用やバージョンアップなどの対策を施して下さい。

　また、ソフトウェア製品の更新手順をドキュメント化することや、更新確認用のシステムの整備、対策を外部に委託する際の調整など、継続的な対策のための環境を整備することも重要です。

2.3 ウェブサイトを狙った攻撃に関する注意喚起

　ウェブサイトを狙った攻撃が継続していることから、2009年8月17日にウェブサイト管理者等へウェブサーバのアクセスログ調査およびウェブサイトの脆弱性検査、脆弱性対策の早急な実施を改めて推奨する注意喚起を行いました。

　攻撃の現状を把握する実例として、IPAが公開している「脆弱性対策情報データベースJVN iPedia^(*17)」について、2009年4月から7月までのアクセスログを、IPAが無償で公開している「ウェブサイトの脆弱性検出ツールiLogScanner^(*18)」で解析した事例を公開しましたが、図13に示すように8月以降も攻撃が継続しています。

　ウェブサイト管理者は引き続きウェブサイトの脆弱性対策が必要です。

脚注

(*1)ソフトウェア等の脆弱性関連情報に関する届出制度：経済産業省告示に基づき、2004年7月より開始しました。IPAは届出受付・分析、JPCERT/CCは国内の製品開発者などの関連組織との調整を行っています。

(*2)2009/1Qに届けられた4件が他の届出と同一の脆弱性と今四半期に判断したため、2009/1Qの届出件数を4件減らしました。

(*3)今四半期の届出の中で不受理とした2件、前期までの届出の中で今期に不受理とした3件の合計です。

(*4)Computer Security Incident Response Team。コンピュータセキュリティインシデント対応チーム。コンピュータセキュリティに関するインシデント（事故）への対応・調整・サポートをする組織です。

(*5)本脆弱性の深刻度=レベルIII（危険）、CVSS基本値=7.1、別紙P.8表1-2項番2を参照下さい。

(*6)本脆弱性の深刻度=レベルIII（危険）、CVSS基本値=7.2、別紙P.8表1-2項番3を参照下さい。

(*7)本脆弱性の深刻度=レベルII（警告）、CVSS基本値=6.5、別紙P.9表1-2項番10を参照下さい。

(*8)本脆弱性の深刻度=レベルII（警告）、CVSS基本値=6.8、別紙P.9表1-2項番11を参照下さい。

(*9)脆弱性情報を一意に特定するための標準仕様で、脆弱性に対して共通の識別子（CVE-ID）を付与したリストで す。米国の非営利団体のMITRE社が管理・運用しています。概要は「共通脆弱性識別子CVEの概説」を参照下さい。
http://www.ipa.go.jp/security/vuln/CVE.html

(*10)脆弱性対策情報ポータルサイト。国内で利用されている製品の脆弱性対策情報を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/

(*11)http://cve.mitre.org/data/refs/index.html#sources

(*12)http://cve.mitre.org/compatible/organizations.html#j

(*13)今期の届出の中で不受理としたものは0件、前期までの届出の中で今期に不受理としたものは15件です。

(*14)http://www.ipa.go.jp/security/vuln/documents/2009/200907_ec-cube.html

(*15)http://www.ipa.go.jp/security/vuln/documents/2009/200908_namazu.html

(*16)http://www.ipa.go.jp/security/vuln/documents/2009/200909_openssl.html

(*17)脆弱性対策情報データベースJVN iPedia（ジェイブイエヌ アイ・ペディア）は、国内で利用されているソフトウェアを対象にした脆弱性対策情報を網羅・蓄積し、公開しています。
http://jvndb.jvn.jp/

(*18)ウェブサイトの脆弱性検出ツールiLogScanner。
http://www.ipa.go.jp/security/vuln/iLogScanner/index.html

参考情報

本件に関するお問い合わせ先