HOME情報セキュリティ情報セキュリティ対策脆弱性対策ソフトウェア等の脆弱性関連情報に関する届出状況[2010年第2四半期(4月~6月)]

本文を印刷する

情報セキュリティ

ソフトウェア等の脆弱性関連情報に関する届出状況[2010年第2四半期(4月~6月)]

掲載日 2010年7月22日
独立行政法人 情報処理推進機構
セキュリティセンター

1. 2010年 第2四半期 ソフトウェア等の脆弱性関連情報に関する届出状況

1.1 脆弱性関連情報の届出状況

 ~脆弱性の届出件数の累計が6,300件に達しました~

 2010年 第2四半期 のIPAへの脆弱性関連情報の届出件数は、ソフトウェア製品に関するもの34件、ウェブアプリケーション(ウェブサイト)に関するもの120件、合計154件でした(表1)。

 届出受付開始(2004年7月8日)からの累計は、ソフトウェア製品に関するもの1,084件、ウェブサイトに関するもの5,218件、合計6,302件となりました(表1)。ウェブサイトに関する届出が全体の83%を占めています。ウェブサイトに関する届出は2009年第3四半期から130件前後で推移しています(図1)。1就業日あたりの届出件数は2010年第2四半期末で4.33件となりました(表2)。

表1.2010年第2四半期の届出件数
分類 届出件数 累計件数
ソフトウェア製品 34 1,084
ウェブサイト 120 5,218
合計 154 6,302
表2.届出件数(2004年7月8日の届出受付開始から各四半期末時点)
  2007 2008 2009 2010
1Q 1Q 2Q 3Q 4Q 1Q 2Q 3Q 4Q 1Q 2Q
累計届出件数[件] 1,310 2,045 2,342 2,885 4,375 5,227 5,656 5,826 5,977 6,148 6,302
1就業日あたり
[件/日]
1.95 2.24 2.38 2.79 4.00 4.53 4.66 4.56 4.47 4.40 4.33

図1.脆弱性関連情報の届出件数の四半期別推移

1.2 脆弱性の修正完了状況

 ~ウェブサイトの修正済み件数が3,000件を突破しました~

 ソフトウェア製品の脆弱性の届出に関して、JPCERT/CCが調整を行い、製品開発者が修正を完了し、 2010年 第2四半期 にJVN(*1)で対策情報を公表したものは20件(累計426件)でした(表3)。ウェブサイトの脆弱性の届出に関して、IPAがウェブサイト運営者に通知を行い、 2010年 第2四半期 に修正を完了したものが166件(累計3,052件)でした(表3)。

 2004年7月の届出受付開始から、ソフトウェア製品、ウェブサイトの取扱終了件数の累計は5,205件となりました(表4)。全届出(6,302件)のうち、83%の取扱が終了しています。

表3. 2010年 第2四半期 の修正完了状況
分類 修正完了件数 累計件数
ソフトウェア製品 20 426
ウェブサイト 166 3,052
合計 186 3,478
表4. 2010年 第2四半期 の取扱終了状況
分類 取扱終了件数 累計件数
ソフトウェア製品 22 638
ウェブサイト 177 4,567
合計 199 5,205

1.3 ソフトウェア製品の届出傾向が変化

 2009年は、ウェブアプリケーションソフトの届出が半数以上を占めていましたが、ウェブアプリケーションソフトの届出割合は継続的に減少し、それに代わって、届出製品の種別が広がってきています。2010年第2四半期は、ウェブアプリケーションソフト26%、ウェブブラウザ18%、ファイル管理ソフト15%、アプリケーション開発・実行環境9%、グループウェア9%となっており、ファイル管理ソフト及びグループウェアのソフトウェア製品の届出が加わりました(図2)。このように、組織内のシステムで利用されているソフトウェア製品の脆弱性の届出が増えてきており、それらに対しても十分な対策をしていく必要があります。

図2.製品種類別の届出傾向の変化

1.4 ウェブサイトの脆弱性対策は早期に実施を

 2010年第2四半期に、ウェブサイト運営者が脆弱性の修正を完了した件数は、166件(累計3,052件)となりました。修正が完了した届出の内訳は、ウェブサイト運営者に脆弱性関連情報を通知してから、90日以内に修正が完了したものが54件(33%)、91日~200日以内に完了したものが24件(14%)、201日~300日以内に完了したものが9件(5%)、301日以上経過したものが79件(48%)となり、そのうち取扱が長期化(ウェブサイト運営者に詳細情報を通知してから90日以上経過)したものが約7割(67%)となりました(図3)。

 取扱中の届出の内、取扱いが長期化している届出の四半期毎の件数は、2009年第2四半期末の時点で1,021件でしたが、2010年第2四半期末では440件と減少しており(図4)、長期間脆弱性が修正されていないウェブサイトの対応が行われてきています。

  しかし一方で、2010年第2四半期末の時点で取扱い中の届出の内訳は、2005年10件(1%)、2006年5件(1%)、2007年30件(5%)、2008年270件(41%)、2009年189件(29%)、2010年147件(23%)で、2008年以前のものが約半数(48%)となっており(図5)、長期間脆弱性が修正されていないウェブサイトが、まだ多数残っています。

  ウェブサイト運営者は長期間脆弱性が放置されることにより、放置された脆弱性に対する攻撃を受ける可能性が高まる事を認識し、迅速に対策を講じる必要があります。早期に対策が難しい場合は、対策実施までの期間、攻撃による影響を低減する対策を実施することを推奨します。

(左)図3.修正完了となった届出内訳、(中)図4.四半期別長期化している届出件数、(右)図5.取扱中の届出の届出年別内訳

1.5 製品開発者は「自社製品に関する脆弱性対策情報の届出」での公表を

 2004年7月の届出受付開始から、JVNで公表したソフトウェア製品の脆弱性対策情報の累計は、426件です。そのうち、ソフトウェア製品開発者から「自社製品に関する脆弱性関連情報の届出」がなされてJVN公表した脆弱性対策情報の累計は40件となります(図6)。このうち2010年上半期 だけで8件を公表しており、2009年の一年間にJVNで公表した件数を既に超えています(図7)。本届出制度は、利用者に広くソフトウェア製品の脆弱性対策情報を公表するために有効な手段となりますので、今後も、「自社製品に関する脆弱性関連情報の届出」が積極的に行われることを期待します。

(左)図6.製品開発者から届出されたJVN公表件数、(右)図7.発見者の割合

2.ソフトウェア製品の脆弱性の処理状況

 2010年 第2四半期 のソフトウェア製品の脆弱性の処理状況は、JPCERT/CCが調整(*2)を行い、製品開発者が脆弱性の修正を完了し、JVNで対策情報を公表したものが20件(累計426件)、製品開発者が個別対応を行ったものは0件(累計17件)、製品開発者が脆弱性ではないと判断したものは1件(累計39件)、告示で定める届出の対象に該当せず不受理としたものは1(*3)件(累計156件)でした。これら取扱いを終了したものの合計は22件(累計638件)です(表5)。

 この他、海外のCSIRT(*4)からJPCERT/CCが連絡を受けた21件(累計497件)をJVNで公表しました。これらの公表済み件数の期別推移を図8に示します。

表5.製品の脆弱性の終了件数
分類 件数 累計
修正完了 公表済み 20 426
個別対応 0 17
脆弱性ではない 1 39
不受理 1 156
22 638

図8.ソフトウェア製品の脆弱性対策情報の公表件数

2.1 JVNで公表した主な脆弱性対策情報

 今四半期は、(1)「MODx」における SQL インジェクションの脆弱性(*5)、(2)「一太郎シリーズ」における任意のコードが実行される脆弱性(*6)、(3)複数のサイボウズ製品におけるアクセス制限に関する脆弱性(*7)、(4)「WebSAM DeploymentManager」におけるサービス運用妨害(DoS)の脆弱性(*8)、(5)「CapsSuite Small Edition PatchMeister」におけるサービス運用妨害 (DoS) の脆弱性(*9)、(6)「一太郎シリーズ」における任意のコードが実行される脆弱性(*10)などの脆弱性対策情報をJVNで公表しました。

3.ウェブサイトの脆弱性の処理状況

 2010年 第2四半期 のウェブサイトの脆弱性の処理状況は、IPAが通知を行い、ウェブサイト運営者が修正を完了したものが166件(累計3,052件)、IPAが注意喚起等を行った後に取扱いを終了したものが0件(累計1,116件)、IPAおよびウェブサイト運営者が脆弱性ではないと判断したものが6件(累計235件)、ウェブサイト運営者と連絡が不可能なものが2件(累計21件)、告示で定める届出の対象に該当せず不受理としたものが3(*11)件(累計143件)でした。

 取扱いを終了したものの合計は177件(累計4,567件)です(表6)。これらのうち、修正完了件数の期別推移を図9に示します。

表6.ウェブサイトの脆弱性の終了件数
分類 件数 累計
修正完了 166 3,052
注意喚起 0 1,116
脆弱性ではない 6 235
連絡不可能 2 21
不受理 3 143
177 4,567

図9.ウェブサイトの脆弱性の修正完了件数

3.1 届出のあった対象ウェブサイトの運営主体の内訳と脆弱性の種類

 今四半期にIPAに届出のあったウェブサイトの脆弱性関連情報120件のうち、不受理としたものを除いた118件について、対象ウェブサイトの運営主体別内訳は、企業合計が47件(39%)、団体が53件(45%)、地方公共団体が7件(6%)、個人が5件(4%)などです(図10)。

 また、これらの脆弱性の種類は、クロスサイト・スクリプティングが88件(75%)、SQLインジェクションが9件(8%)、HTTPSの不適切な利用5件(4%)などです(図11)。

 ウェブサイト運営者は脆弱性を作り込まないようなウェブサイトの企画・設計にあたることが必要です。届出件数が多く広く知れ渡っている脆弱性は、悪意のある第三者に発見される可能性も高く、特に注意する必要があります。

(左)図10.ウェブサイトの運営主体(2010年2Q)、図11.ウェブサイトの脆弱性の種類(2010年2Q)

3.2 ウェブサイトの脆弱性で90日以上対策が未完了の届出は440件

 ウェブサイト運営者から脆弱性を修正した旨の通知が無い場合、IPAは脆弱性が攻撃された場合の脅威を分かりやすく解説するなど、1~2か月毎に電子メールや電話、郵送などの手段で脆弱性対策を促しています。

  未修正のウェブサイトの脆弱性関連情報のうち、IPAからウェブサイト運営者へ脆弱性関連情報を通知してから今四半期末までの経過日が90日以上経過しているものについて、経過日数毎の件数を図12に示します。経過日数が90日から199日に達したものは48件、200日から299日のものは57件など、これらの合計は440件(前四半期は507件)です。前四半期の507件のうち、今四半期に110件が修正完了となり減少した一方、新たに43件が90日以上経過したため増加し、合計で前四半期から67件の減少となりました。

 ウェブサイトの情報が盗まれてしまう可能性のあるSQLインジェクションのように、深刻度の高い脆弱性でも修正が長期化しているものがあります。ウェブサイト運営者は脆弱性を攻撃された場合の脅威を認識し、迅速な対策を講じる必要があります。

図12.取扱いが長期化(90日以上経過)している未修正のウェブサイトの経過日数と脆弱性の種類

3.3 ウェブサイトを狙った攻撃に関する注意喚起

 ウェブサイトを狙った攻撃が継続していることから、IPAは2009年8月17日にウェブサイト管理者等へウェブサーバのアクセスログ調査、ウェブサイトの脆弱性検査、および脆弱性対策の早急な実施を推奨する注意喚起を行いました(*12)

 攻撃の現状を把握する実例として、IPAが無償で公開している「ウェブサイトの脆弱性検出ツールiLogScanner 」を利用して、IPAが公開している「脆弱性対策情報データベースJVN iPedia」の2009年7月から2010年6月末までのアクセスログを解析した事例を示します(図13)。注意喚起(2009年8月)後、更に多くの攻撃が2010年5月から6月に集中して発生しています。直近の12か月間で攻撃があったと思われる件数は8,114件に達しました。

 2010年1月から2010年6月末までの期間で攻撃があったと思われる件数は4,324件と2009年下半期の3,790件から増加しています。そのうち、SQLインジェクション攻撃は1,711件(45%)から531件(12%)と減少しており、ウェブサーバのパスワードファイルや環境設定ファイル(*13)の情報を狙ったディレクトリ・トラバーサル攻撃は1,534件(40%)から3,537件(82%)と急増しています。これらの事象より、ウェブサイトの脆弱性を狙った攻撃は増加傾向と推測されます。

 ウェブサイト管理者は、IPAで公開している「ウェブサイトの脆弱性検出ツールiLogScanner」を活用するなどして、管理しているウェブサイトに対する攻撃状況を把握するとともに、攻撃を受けていると思われる種類の脆弱性については、ウェブサイトの脆弱性対策状況を再度確認することが必要です。脆弱性を対策する際は、「安全なウェブサイトの作り方 」(*14)を参考にしてください。

図13.ウェブサイトの脆弱性検出ツール「iLogScanner」の解析事例

脚注

(*1)Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。国内で利用されている製品の脆弱性対策情報を公表し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/

(*2)JPCERT/CC活動概要 Page11~16(http://www.jpcert.or.jp/pr/2010/PR20100707.pdf)を参照下さい。

(*3)全四半期までの届出の中で、今四半期に不受理とした1件。

(*4)Computer Security Incident Response Team。コンピュータセキュリティインシデント対応チーム。コンピュータセキュリティに関するインシデント(事故)への対応・調整・サポートをする組織です。

(*5)本脆弱性の深刻度=レベルIII(危険)、CVSS基本値=7.5、別紙P.13表1-2項番2を参照下さい。

(*6)本脆弱性の深刻度=レベルIII(危険)、CVSS基本値=9.3、別紙P.14表1-2項番3を参照下さい。

(*7)本脆弱性の深刻度=レベルII(警告)、CVSS基本値=5.8、別紙P.14表1-2項番12を参照下さい。

(*8)本脆弱性の深刻度=レベルIII(危険)、CVSS基本値=7.8、別紙P.14表1-2項番4を参照下さい。

(*9)本脆弱性の深刻度=レベルIII(危険)、CVSS基本値=7.8、別紙P.14表1-2項番5を参照下さい。

(*10)本脆弱性の深刻度=レベルIII(危険)、CVSS基本値=9.3、別紙P.14表1-2項番6を参照下さい。

(*11)今四半期の中で不受理とした2件、前期までの届出の中で今期に不受理とした1件の合計です。

(*12)「ウェブサイトを狙った攻撃に関する注意喚起」を参照下さい。
http://www.ipa.go.jp/security/vuln/documents/2009/200908_attack.html

(*13)具体的には、passwdファイル、environファイル、resolv.conファイルなど。

(*14)http://www.ipa.go.jp/security/vuln/websecurity.html

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター 渡辺/大森
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。

JPCERT/CC 情報流通対策グループ 古田
Tel: 03-3518-4600 Fax: 03-3518-4602
E-mail: 電話番号:03-3518-4600までお問い合わせください。

更新履歴

2010年7月22日 掲載