ソフトウェア等の脆弱性関連情報に関する届出状況
[2009年第4四半期(10月〜12月)]
〜2004年7月の届出受付開始から5年半が経過し、
修正完了件数の累計が3,000件に達しました〜
掲載日 2010年1月21日
独立行政法人情報処理推進機構
セキュリティセンター
IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)およびJPCERT/CC(一般社団法人JPCERTコーディネーションセンター、代表理事:歌代 和正)は、2009年第4四半期(10月〜12月)の脆弱性関連情報の届出状況(*1)をまとめました。
2004年7月の届出受付開始から5年半が経過し、脆弱性関連情報の届出に関して、製品開発者やウェブサイト運営者が修正を完了したものの累計が3,054件となりました。このうち、1,000件は2009年の1年間に修正を完了しています。
修正完了件数が年々増加しており、制度として着実に浸透してきています。今後も脆弱性対策を促進する制度として広く活用されることを期待します。
(1)修正完了件数の累計が3,000件に達しました
ソフトウェア製品の脆弱性の届出に関して、JPCERT/CCが調整を行い、製品開発者が修正を完了し、2009年第4四半期にJVN(*2)で対策情報を公表したものが16件(累計400件)でした。
ウェブサイトの脆弱性の届出に関して、IPAが通知を行い、ウェブサイト運営者が2009年第4四半期に修正を完了したものが431件(累計2,654件)でした。
2004年7月の届出受付開始から5年半が経過し、修正完了件数の全累計が3,054件となりました。このうち、1,000件は2009年に修正を完了しています。修正完了件数が年々増加しており、制度として着実に浸透してきています。今後も脆弱性対策を促進する制度として広く活用されることを期待します。
(2)脆弱性関連情報の届出状況
2009年第4四半期のIPAへの脆弱性関連情報の届出件数は、ソフトウェア製品に関するもの24件、ウェブアプリケーション(ウェブサイト)に関するもの127件、合計151件でした(表1)。
表1.2009年第4四半期の届出件数
| 分類 | 届出件数 | 累計件数 |
|---|---|---|
| ソフトウェア製品 | 24 件 |
1,018 件 |
| ウェブサイト | 127 件 |
4,959 件 |
| 計 | 151 件 |
5,977 件 |
届出受付開始(2004年7月8日)からの累計は、ソフトウェア製品に関するもの1,018件、ウェブサイトに関するもの4,959件、合計5,977件となりました(表1)。
ウェブサイトに関する届出が全体の83%を占めています(図1)。2008年第3四半期から2009年第2四半期にかけてDNSの設定不備、SQLインジェクションの脆弱性の届出が増加し、2008年第4四半期に一時的にクロスサイト・スクリプティングの届出が激増しました。1就業日あたりの届出件数は2009年第4四半期末で4.47件となりました(表2)
表2.届出件数(2004年7月8日の届出受付開始から各四半期末時点)
| 2007/1Q | 2008/1Q | 2009/1Q | 2Q | 3Q | 4Q | |
|---|---|---|---|---|---|---|
| 累計届出件数[件] | 1,310 |
2,045 |
5,227 |
5,656 |
5,826 |
5,977 |
| 1就業日あたり[件/日] | 1.95 |
2.24 |
4.53 |
4.66 |
4.56 |
4.47 |
(3)個人情報を扱っているウェブサイト運営者は包括的な脆弱性対策および設定状況の再確認を
2009年の一年間に、ウェブサイトに関する脆弱性関連情報の届出が1,445件ありました。このうちSQLインジェクションの脆弱性に関する届出が168件あり、その中で、IPAが個人情報を取扱っていると判断した届出(*3)は103件(61%)ありました(図2)。
個人情報を取り扱っているにもかかわらず、発見されたSQLインジェクションの脆弱性が放置されたままのウェブサイトが41件あります。そのウェブサイト運営主体ごとの割合は、企業が25件(61%)、団体(協会・社団法人)が8件(20%)、地方公共団体が5件(12%)などとなっています(図3)。
その他、2009年の1年間に個人情報が漏えいしているという届出が6件ありました。個人情報が漏えいした脆弱性の内訳は、ファイルの誤った公開が2件、認証に関する不備が2件、セッション管理の不備が1件、アクセス制限の回避が1件でした。
個人情報などの重要情報を取り扱っているウェブサイトは、個人情報保護法を遵守する観点からも、包括的なウェブサイトの脆弱性対策および設定状況の再確認が必要です。
(4)ソフトウェア製品開発者は認証・認可機能の再確認を
2009年の一年間に、ソフトウェア製品に関する脆弱性関連情報の届出が161件ありました。脆弱性の種類で分類すると、クロスサイト・スクリプティングが72件(45%)、認証・認可の不備に関するものが15件(9%)、ディレクトリ・トラバーサルが12件(7%)などとなっています(図4)。このうち、認証・認可の不備は、重要な情報資産に対するアクセス制御を無効化するもので、特に注意が必要です。
2009年の一年間に、JVNで脆弱性対策情報を公開したものの中でも、認証・認可の不備に関するものが11件(14%)あり、第2位となっています(図5)。
例えば、JVNで公表した「EC-CUBE」における情報漏えいの脆弱性(*4)では、認証の欠落により第三者に顧客情報が閲覧されてしまう可能性がありました。また、「SEIL/B1」の認証処理における脆弱性(*5)では、認証が適切に行われないために、第三者に認証が必要なネットワークにアクセスされる可能性がありました(*6)。製品開発者は、認証・認可の機能を正しく実装する必要があります。
(5)脆弱性対策情報の収集にJVNをグローバルに活用して頂くことが可能になりました(CVE互換認定)
共通脆弱性識別子CVE(*7)は、個別製品中の脆弱性を対象として、米国政府の支援を受けた非営利団体のMITRE社が採番している識別子です。1999年の運用開始以来、10年が経過しました。国内外の脆弱性検査ツールや脆弱性対策情報提供サービスの多くがCVEを利用しています。
この度、JVN、JVN iPedia、MyJVNにおいて、該当するCVE識別番号が適切に関連付けられていることなどがMITRE社より認定されました(CVE互換認定)。
http://www.cve.mitre.org/news/index.html#jan082010a
CVE互換認定を受けたことにより、CVEを用いた脆弱性対策情報の検索や、脆弱性情報が同じ脆弱性に関するものであるか否かの判断などに、JVNをグローバルに活用して頂くことが可能になりました。
今後もCVE等の共通基準の導入を進めることにより、国内外の脆弱性対策情報流通の促進を図ると共に、利用者側の客観的・効率的な脆弱性対策を目指した利活用基盤を整備していきます。
1.ソフトウェア製品の脆弱性の処理状況
2009年第4四半期のソフトウェア製品の脆弱性の処理状況は、JPCERT/CCが調整を行い、製品開発者が脆弱性の修正を完了し、JVNで対策情報を公表したものが16件(累計400件)、製品開発者が個別対応を行ったものは0件(累計17件)、製品開発者が脆弱性ではないと判断したものは2件(累計37件)、告示で定める届出の対象に該当せず不受理としたものは3件(*8)(累計151件)でした。これらの取扱いを終了したものの合計は21件(累計605件)です(表3)。
この他、海外のCSIRT(*9)からJPCERT/CCが連絡を受けた15件(累計456件)をJVNで公表しました。これらの、公表済み件数の期別推移を図6に示します。
表3.ソフトウェア製品の脆弱性の終了件数
| 分類 | 分類 | 件数 | 累計件数 |
|---|---|---|---|
| 修正完了 | 公表済み | 16 件 |
400 件 |
| 個別対応 | 0 件 |
17 件 |
|
| 脆弱性ではない | 2 件 |
37 件 |
|
| 不受理 | 3 件 |
151 件 |
|
| 計 | 21 件 |
605 件 |
|
1.1 製品開発者自身の脆弱性対策情報の届出状況
製品開発者自身が自社製品に関する脆弱性関連情報を発見し届出を行ったものに関して、今四半期は(1)SEIL/X シリーズおよび SEIL/B1 におけるバッファオーバーフローの脆弱性(*10)、(2)SEIL/X シリーズおよび SEIL/B1 におけるサービス運用妨害 (DoS) の脆弱性(*11)、(3)SEIL/B1 の認証処理における脆弱性(*12)、(4)EC-CUBEにおける情報漏えいの脆弱性(*13)の4件(累計32件)の脆弱性対策情報をJVNで公表しました。
今後も、利用者への周知のために製品開発者がJVNを活用されることを期待します。
1.2 組込みソフトウェアの脆弱性対策情報の公表状況
組込みソフトウェアに関して、今四半期は1.1の(1)〜(3)の3件の脆弱性対策情報の公表を行い、累計で26件となりました(図7)。
組込みソフトウェアの内訳は、図8に示すように、ルータやスイッチなどのネットワーク機器が10件、プリンタやハードディスクなどの周辺機器が6件、携帯電話や携帯端末などの携帯機器が5件、DVDレコーダやネットワークカメラなどの情報家電が3件などとなっています。
今後、インターネットに接続される情報家電が増えると、組込みソフトウェアの脆弱性を狙う攻撃の顕在化が予測されます。組込み機器ではパッチの適用が困難なケースもあり、組込みソフトウェアの開発者は、製品の開発段階から脆弱性を作り込まないようなセキュリティの考慮が必要です。
2.ウェブサイトの脆弱性の処理状況
2009年第4四半期のウェブサイトの脆弱性の処理状況は、IPAが通知を行い、ウェブサイト運営者が修正を完了したものが431件(累計2,654件)、IPAが注意喚起等を行った後に処理を終了したものが791件(*14)(累計1,119件)、IPAおよびウェブサイト運営者が脆弱性ではないと判断したものが26件(累計217件)、ウェブサイト運営者と連絡が不可能なものが5件(累計16件)、告示で定める届出の対象に該当せず不受理としたものが9件(*15)(累計133件)でした。
これらの取扱いを終了したものの合計は1,262件(累計4,139件)です(表4)。これらのうち、修正完了件数の期別推移を図9に示します。
表4.ウェブサイトの脆弱性の終了件数
| 分類 | 件数 | 累計件数 |
|---|---|---|
| 修正完了 | 431 件 |
2,654 件 |
| 注意喚起 | 791 件 |
1,119 件 |
| 脆弱性ではない | 26 件 |
217 件 |
| 連絡不可能 | 5 件 |
16 件 |
| 不受理 | 9 件 |
133 件 |
| 計 | 1,262 件 |
4,139 件 |
2.1 届出のあった対象ウェブサイトの運営主体の内訳と脆弱性の種類
今四半期にIPAに届出のあったウェブサイトの脆弱性関連情報127件のうち、不受理のものを除いた119件について、対象ウェブサイトの運営主体別内訳は、企業合計が69件(58%)、政府機関が28件(24%)、地方公共団体が7件(6%)、団体が6件(5%)などです(図10)。
また、これらの脆弱性の種類は、クロスサイト・スクリプティングが64件(54%)、SQLインジェクションが16件(13%)、ファイルの誤った公開11件(9%)、認証に関する不備6件(5%)などです(図11)。
ウェブサイト運営者は脆弱性を作り込まないようなウェブサイトの企画・設計にあたることが必要です。届出件数が多く、広く知れ渡っている脆弱性は悪意のある第三者に発見される可能性も高く、特に注意する必要があります。
2.2 ウェブサイトの脆弱性で90日以上対策が未完了のものは551件
ウェブサイト運営者から脆弱性を修正した旨の通知が無い場合、IPAは脆弱性が攻撃された場合の脅威を丁寧に解説するなど、1〜2カ月毎に電子メールや電話、郵送などの手段で脆弱性対策を促しています。
未修正のウェブサイトの脆弱性関連情報のうち、IPAからウェブサイト運営者へ脆弱性関連情報を通知してから今四半期までの経過日が90日以上経過しているものについて、経過日数毎の件数を図12に示します。経過日数が90日から199日に達したものは92件、200日から299日のものは144件など、これらの合計は551件(前四半期は1,125件)です。前四半期のものは591件減少し、今四半期で新たに17件が90日以上となったため574件減少しました。
ウェブサイトの情報が盗まれてしまう可能性のあるSQLインジェクションのように、深刻度の高い脆弱性でも修正が長期化しているものがあります。ウェブサイト運営者は脆弱性を攻撃された場合の脅威を認識し、迅速な対策を講じる必要があります。
なお、脆弱性関連情報の取扱いの効率化を図るため、2009年7月8日の「情報セキュリティ早期警戒パートナーシップガイドラインの改訂(*16)」で、このような一定期間にわたり的確な答えが無い場合は、その脆弱性の影響範囲や取扱期間を考慮し、1年以上経過したものから順次取扱を終了します。
2.3 ウェブサイトを狙った攻撃に関する注意喚起
ウェブサイトを狙った攻撃が継続していることから、IPAは2009年8月17日にウェブサイト管理者等へウェブサーバのアクセスログ調査およびウェブサイトの脆弱性検査、および脆弱性対策の早急な実施を推奨する注意喚起を行いました(*17)。
攻撃の現状を把握する実例として、IPAが無償で公開している「SQLインジェクション検出ツールiLogScanner(*18)」で、IPAが公開している「脆弱性対策情報データベースJVN iPedia(*19)」の2009年4月から7月までのアクセスログを解析した事例を示しましたが、図13に示すように8月以降も攻撃が継続しています。
2009年の1年間では、2008年頃から急増しているSQLインジェクション攻撃(*20)が46%、ウェブサーバのパスワードファイルや環境設定ファイル(*21)の情報を狙ったディレクトリ・トラバーサル攻撃が38%を占めています。ウェブサイト管理者は引き続きウェブサイトの脆弱性対策が必要です。
脚注
(*1)ソフトウェア等の脆弱性関連情報に関する届出制度:経済産業省告示に基づき、2004年7月より開始しました。IPAは届出受付・分析、JPCERT/CCは国内の製品開発者などの関連組織との調整を行っています。
(*2)Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。国内で利用されている製品の脆弱性対策情報を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/
(*3)IPAでは、プライバシーポリシーの記載内容や、住所・氏名等を入力するフォームの有無から、個人情報の取扱有無を判断しました。
(*4)http://jvn.jp/jp/JVN79762947/index.html
(*5)http://jvn.jp/jp/JVN49602378/index.html
(*6)これらは製品開発者自身からの届出です。利用者に広く対策情報を公開するためJVNが活用されています。
(*7)Common Vulnerabilities and Exposures。脆弱性情報を一意に特定するための標準仕様で、各脆弱性に対してCVE識別番号を付与したリスト。概要は次を参照下さい。
http://www.ipa.go.jp/security/vuln/CVE.html
(*8)今四半期の届出の中で不受理とした2件、前期までの届出の中で今期に不受理とした1件の合計です。
(*9)Computer Security Incident Response Team。コンピュータセキュリティインシデント対応チーム。コンピュータセキュリティに関するインシデント(事故)への対応・調整・サポートをする組織です。
(*10)本脆弱性の深刻度=レベルIII(危険)、CVSS基本値=9.3、別紙P.11表1-2項番1を参照下さい。
(*11)本脆弱性の深刻度=レベルIII(危険)、CVSS基本値=7.8、別紙P.11表1-2項番2を参照下さい。
(*12)本脆弱性の深刻度=レベルI(注意)、CVSS基本値=2.6、別紙P.13表1-2項番16を参照下さい。
(*13)本脆弱性の深刻度=レベルII(警告)、CVSS基本値=5.0、別紙P.12表1-2項番6を参照下さい。
(*14) ウェブサイトで利用されているDNSサーバの既知の脆弱性への注意喚起
http://www.ipa.go.jp/security/vuln/documents/2009/200912_dns.html
(*15)今期の届出の中で不受理としたものは8件、前期までの届出の中で今期に不受理としたものは1件です。
(*16)情報セキュリティ早期警戒パートナーシップガイドライン。
http://www.ipa.go.jp/security/ciadr/partnership_guide.html
(*17)「ウェブサイトを狙った攻撃に関する注意喚起」を参照下さい。
http://www.ipa.go.jp/security/vuln/documents/2009/200908_attack.html
(*18)ウェブサイトの脆弱性検出ツールiLogScanner。
http://www.ipa.go.jp/security/vuln/iLogScanner/index.html
(*19)脆弱性対策情報データベースJVN iPedia(ジェイブイエヌ アイ・ペディア)は、国内で利用されているソフトウェアを対象にした脆弱性対策情報を網羅・蓄積し、公開しています。
http://jvndb.jvn.jp/
(*20)2008年5月15日に発行した「SQLインジェクション攻撃に関する注意喚起」を参照下さい。
http://www.ipa.go.jp/security/vuln/documents/2008/200805_SQLinjection.html
(*21)具体的には、passwdファイル、environファイル、resolv.conファイルなど。
