HOME情報セキュリティ情報セキュリティ対策脆弱性対策ソフトウェア等の脆弱性関連情報に関する届出状況[2010年第1四半期(1月~3月)]

本文を印刷する

情報セキュリティ

ソフトウェア等の脆弱性関連情報に関する届出状況[2010年第1四半期(1月~3月)]

掲載日 2010年4月27日
独立行政法人 情報処理推進機構
セキュリティセンター

1. 2010年 第1四半期 ソフトウェア等の脆弱性関連情報に関する届出状況

1.1 脆弱性関連情報の届出状況

 ~ウェブサイトの脆弱性の届出件数の累計が5,000件を突破~

 2010年第1四半期のIPAへの脆弱性関連情報の届出件数は、ソフトウェア製品に関するもの32件、ウェブアプリケーション(ウェブサイト)に関するもの139件、合計171件でした(表1)。

 届出受付開始(2004年7月8日)からの累計は、ソフトウェア製品に関するもの1,050件、ウェブサイトに関するもの5,098件、合計6,148件となりました(表1)。ウェブサイトに関する届出が全体の83%を占めています。ウェブサイトに関する届出は2009年第3四半期から130件前後で推移しています(図1)。1就業日あたりの届出件数は2010年第1四半期末で4.40件となりました(表2)。

表1.2010年第1四半期の届出件数
分類 届出件数 累計件数
ソフトウェア製品 32 1,050
ウェブサイト 139 5,098
合計 171 6,148
表2.届出件数(2004年7月8日の届出受付開始から各四半期末時点)
  2007 2008 2009 2010
1Q 1Q 2Q 3Q 4Q 1Q 2Q 3Q 4Q 1Q
累計届出件数[件] 1,310 2,045 2,322 2,885 4,375 5,227 5,656 5,826 5,977 6,148
1就業日あたり
[件/日]
1.95 2.24 2.38 2.79 4.00 4.53 4.66 4.56 4.47 4.40

図1.脆弱性関連情報の届出件数の四半期別推移

1.2 脆弱性の修正完了状況

 ~修正済み脆弱性の約半分が最近の15か月間で修正を完了~

 ソフトウェア製品の脆弱性の届出に関して、JPCERT/CCが調整を行い、製品開発者が修正を完了し、2010年第1四半期にJVN(*1)で対策情報を公表したものが6件(累計406件)でした。

 ウェブサイトの脆弱性の届出に関して、IPAがウェブサイト運営者に通知を行い、2010年第1四半期に修正を完了したものが232件(累計2,886件)でした。

 2004年7月の届出受付開始から、修正完了件数の累計(ソフトウェア製品、ウェブサイト)は3,309件となりました。このうち、2009年1月から2010年3月末までの期間に1,638件(修正完了件数累計の約50%)が修正を完了しています。四半期単位の修正完了件数は年々増加しており、本制度が着実に浸透してきています。今後も、脆弱性対策を促進する制度として広く活用されることを期待します。

1.3 携帯サイトの脆弱性対策の実施を

 2010年第1四半期は、「OpenPNE」におけるアクセス制限回避の脆弱性(*2)に関して、JVNで対策情報を公表しました。IPAには「OpenPNE」のように携帯サイト(*3)を構築するソフトウェア製品に限らず、携帯サイトに関する脆弱性も届出されています。

 携帯サイトに関する届出においては、「セッション管理の不備」および「認証に関する不備」に関する脆弱性が多く届出されています。2009年度における携帯サイトとウェブサイト(携帯サイトを含む届出全体)の脆弱性の割合で比較すると、ウェブサイトにおける「セッション管理の不備」および「認証に関する不備」に関する届出が全体の約4%であったのに対して携帯サイトでは約37%でした。(図2)。

 携帯電話のウェブブラウザをパソコンのウェブブラウザと比べた場合、「Cookieに対応していないブラウザがある」、「閲覧しているウェブサイトのアドレスがブラウザ上に表示されない」といった違いがあります。携帯電話の高機能化等にともない、携帯サイトに脆弱性があると、その脆弱性が悪用される可能性が高まっています。

 携帯サイトの運営者は、パソコン向けウェブサイトと同様に十分な脆弱性対策をお願いします。

図2.2009年度における携帯サイトとウェブサイトの脆弱性の割合

1.4 ウェブサイト運営者は脆弱性対策の早急な実施を

 ウェブサイト運営者へ脆弱性関連情報を通知してから、90日以上ウェブサイト運営者から脆弱性を修正した旨の通知がない長期化している届出が507件あります。これらの届出についてウェブサイト運営主体別の件数は、企業(株式・非上場)は266件(52%)、地方公共団体は84件(17%)、その他は57件(11%)、企業(株式・上場)は44件(9%)などとなっております(図3)。

 また、長期化している届出のうち、経過日数が400日を超えているのは、企業(株式・上場)は73%、企業(株式・非上場)は61%、政府機関は50%などとなっており、これらのウェブサイトは、1年以上脆弱性が放置されている可能性があります(図4)。

 ウェブサイト運営者は長期間脆弱性が放置される事によって、脆弱性を発見され攻撃を受ける可能性が高まる事を認識し、迅速に対策を講じる必要があります。早期に対策が難しい場合は、対策実施までの期間について、攻撃による影響を低減する対策(*4)を実施することを推奨します。

(左)図3.取扱中届出の長期化(90日以上)件数、(右)図4.取扱中届出の運営主体別割合

1.5 製品開発者は「自社製品に関する脆弱性関連情報の届出」の活用を

 2004年7月の届出開始から、ソフトウェア製品開発者からの自社製品に関する脆弱性関連情報の届出の累計は、57件ありました。2008年までは、届出件数が増加傾向にありましたが、2009年は、届出件数が減少しています(図5)。

 また、ソフトウェア製品に関する脆弱性関連情報の届出は、製品開発者以外は93%、製品開発者は7%となります(図6)。「自社製品に関する脆弱性関連情報の届出」を活用することにより、JVNにて対策情報が公表され、より多くの利用者に対策情報を提供することが可能となります。製品開発者は、利用者に広くソフトウェア製品の対策情報を公表するために本届出制度を有効に活用することを推奨します。

(左)図5.製品開発者からの年別届出件数、(右)図6.発見者の割合

2.ソフトウェア製品の脆弱性の処理状況

 2010年第1四半期のソフトウェア製品の脆弱性の処理状況は、JPCERT/CCが調整(*5)を行い、製品開発者が脆弱性の修正を完了し、JVNで対策情報を公表したものが6件(累計406件)、製品開発者が個別対応を行ったものは0件(累計17件)、製品開発者が脆弱性ではないと判断したものは1件(累計38件)、告示で定める届出の対象に該当せず不受理としたものは4件(累計155件)でした。これら取扱いを終了したものの合計は11件(累計616件)です(表3)。

 この他、海外のCSIRT(*6)からJPCERT/CCが連絡を受けた20件(累計476件)をJVNで公表しました。これらの、公表済み件数の期別推移を図7に示します。

表3.製品の脆弱性の終了件数
分類 件数 累計
修正完了 公表済み 6 406
個別対応 0 17
脆弱性ではない 1 38
不受理 4 155
11 616

図7.ソフトウェア製品の脆弱性対策情報の公表件数

2.1 JVNで公表した主な脆弱性対策情報

 今四半期は、(1) 「Movable Type」におけるアクセス制限回避の脆弱性(*7)、(2)「WebCalenderC3」におけるクロスサイト・スクリプティングの脆弱性(*8)、(3)「WebCalenderC3」におけるディレクトリ・トラバーサルの脆弱性(*9)、(4) 「OpenPNE」におけるアクセス制限回避の脆弱性(*10)などの脆弱性対策情報をJVNで公表しました。

3.ウェブサイトの脆弱性の処理状況

 2010年第1四半期のウェブサイトの脆弱性の処理状況は、IPAが通知を行い、ウェブサイト運営者が修正を完了したものが232件(累計2,886件)、IPAが注意喚起等を行った後に取扱いを終了したものが0件(累計1,116件(*11))、IPAおよびウェブサイト運営者が脆弱性ではないと判断したものが12件(累計229件)、ウェブサイト運営者と連絡が不可能なものが3件(累計19件)、告示で定める届出の対象に該当せず不受理としたものが7件(累計140件)でした。

 取扱いを終了したものの合計は254件(累計4,390件)です(表4)。これらのうち、修正完了件数の期別推移を図8に示します。

表4.ウェブサイトの脆弱性の終了件数
分類 件数 累計
修正完了 232 2,886
注意喚起 0 1,116
脆弱性ではない 12 229
連絡不可能 3 19
不受理 7 140
254 4,390

図8.ウェブサイトの脆弱性の修正完了件数

3.1 届出のあった対象ウェブサイトの運営主体の内訳と脆弱性の種類

 今四半期にIPAに届出のあったウェブサイトの脆弱性関連情報139件のうち、不受理としたものを除いた132件について、対象ウェブサイトの運営主体別内訳は、企業合計が104件(79%)、地方公共団体が16件(13%)、教育・学術機関が3件(2%)、政府機関が3件(2%)、団体が3件(2%)などです(図9)。

 また、これらの脆弱性の種類は、クロスサイト・スクリプティングが70件(53%)、SQLインジェクションが21件(16%)、HTTPSの不適切な利用14件(11%)、セッション管理の不備6件(5%)などです(図10)。

 ウェブサイト運営者は脆弱性を作り込まないようなウェブサイトの企画・設計にあたることが必要です。届出件数が多く、広く知れ渡っている脆弱性は悪意のある第三者に発見される可能性も高く、特に注意する必要があります。

(左)図9.ウェブサイトの運営主体(2010年1Q)、図10.ウェブサイトの脆弱性の種類(2010年1Q)

3.2 ウェブサイトの脆弱性で90日以上対策が未完了の届出は507件

 ウェブサイト運営者から脆弱性を修正した旨の通知が無い場合、IPAは脆弱性が攻撃された場合の脅威を分かりやすく解説するなど、1~2か月毎に電子メールや電話、郵送などの手段で脆弱性対策を促しています。

 未修正のウェブサイトの脆弱性関連情報のうち、IPAからウェブサイト運営者へ脆弱性関連情報を通知してから今四半期までの経過日が90日以上経過しているものについて、経過日数毎の件数を図11に示します。経過日数が90日から199日に達したものは77件、200日から299日のものは63件など、これらの合計は507件(前四半期は551件)です。507件の内訳は、前四半期(551件)のものは119件減少し、今四半期で新たに75件が90日以上経過したため、前四半期と比較すると44件減少しました。

 ウェブサイトの情報が盗まれてしまう可能性のあるSQLインジェクションのように、深刻度の高い脆弱性でも修正が長期化しているものがあります。ウェブサイト運営者は脆弱性を攻撃された場合の脅威を認識し、迅速な対策を講じる必要があります。

図11.修正が長期化しているウェブサイトの未修正の経過日数と脆弱性の種類

3.3 ウェブサイトを狙った攻撃に関する注意喚起

 ウェブサイトを狙った攻撃が継続していることから、IPAは2009年8月17日にウェブサイト管理者等へウェブサーバのアクセスログ調査、ウェブサイトの脆弱性検査、および脆弱性対策の早急な実施を推奨する注意喚起を行いました(*12)

 攻撃の現状を把握する実例として、IPAが無償で公開している「SQLインジェクション検出ツールiLogScanner(*13)」で、IPAが公開している「脆弱性対策情報データベースJVN iPedia(*14)」の2009年1月から2010年3月末までのアクセスログを解析した事例を示します(図12)。注意喚起(2009年8月)以降も攻撃が継続しています。

 2009年から2010年3月末までの期間で攻撃があったと思われる件数6,692件のうち、SQLインジェクション攻撃(*15)が3,068件(46%)、ウェブサーバのパスワードファイルや環境設定ファイル(*16)の情報を狙ったディレクトリ・トラバーサル攻撃が2,493件(37%)を占めています。ウェブサイト管理者は引き続きウェブサイトの脆弱性対策が必要です。

図12.SQLインジェクション検出ツール「iLogScanner」での解析事例

脚注

(*1)Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。国内で利用されている製品の脆弱性対策情報を公表し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/

(*2)本脆弱性の深刻度=レベルII(警告)、CVSS基本値=5.8、別紙P.11表1-2項番4を参照下さい。

(*3)「携帯電話のウェブブラウザで閲覧することを想定しているウェブサイト」を指します。

(*4)「安全なウェブサイトの作り方 改訂第4版」を参照下さい。
http://www.ipa.go.jp/security/vuln/websecurity.html

(*5)JPCERT/CC活動概要(該当ページ13~15)を参照下さい。
http://www.jpcert.or.jp/pr/2010/PR20100408.pdf

(*6)Computer Security Incident Response Team。コンピュータセキュリティインシデント対応チーム。コンピュータセキュリティに関するインシデント(事故)への対応・調整・サポートをする組織です。

(*7)本脆弱性の深刻度=レベルII(警告)、CVSS基本値=5.5、別紙P.11表1-2項番1を参照下さい。

(*8)本脆弱性の深刻度=レベルII(警告)、CVSS基本値=4.3、別紙P.11表1-2項番2を参照下さい。

(*9)本脆弱性の深刻度=レベルII(警告)、CVSS基本値=5.0、別紙P.11表1-2項番3を参照下さい。

(*10)本脆弱性の深刻度=レベルII(警告)、CVSS基本値=5.8、別紙P.11表1-2項番4を参照下さい。

(*11)前期に注意喚起にて取扱終了し、今期に運営者から修正完了報告を受けた届出が3件ありました。この為、注意喚起の累計が3件減少し、修正完了が3件増加しました。

(*12)「ウェブサイトを狙った攻撃に関する注意喚起」を参照下さい。
http://www.ipa.go.jp/security/vuln/documents/2009/200908_attack.html

(*13)ウェブサイトの脆弱性検出ツールiLogScanner。
http://www.ipa.go.jp/security/vuln/iLogScanner/index.html

(*14)脆弱性対策情報データベースJVN iPedia(ジェイブイエヌ アイ・ペディア)は、国内で利用されているソフトウェアを対象にした脆弱性対策情報を網羅・蓄積し、公開しています。
http://jvndb.jvn.jp/

(*15)2008年5月15日に発行した「SQLインジェクション攻撃に関する注意喚起」を参照下さい。
http://www.ipa.go.jp/security/vuln/documents/2008/200805_SQLinjection.html

(*16)具体的には、passwdファイル、environファイル、resolv.conファイルなど。

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター 渡辺/大森
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。

JPCERT/CC 情報流通対策グループ 古田
Tel: 03-3518-4600 Fax: 03-3518-4602
E-mail: 電話番号:03-3518-4600までお問い合わせください。

更新履歴

2010年5月20日 ウェブサイトのデザインを一部変更しました。
2010年4月27日 掲載