HOME情報セキュリティ情報セキュリティ対策脆弱性対策ソフトウェア等の脆弱性関連情報に関する届出状況[2010年第3四半期(7月~9月)]

本文を印刷する

情報セキュリティ

ソフトウェア等の脆弱性関連情報に関する届出状況[2010年第3四半期(7月~9月)]

掲載日 2010年10月21日
独立行政法人 情報処理推進機構
セキュリティセンター

1. 2010年 第3四半期 ソフトウェア等の脆弱性関連情報に関する届出状況

1.1 脆弱性関連情報の届出状況

 ~脆弱性の届出件数の累計が6,400件に達しました~

 2010年 第3四半期 のIPAへの脆弱性関連情報の届出件数は、ソフトウェア製品に関するもの42件、ウェブアプリケーション(ウェブサイト)に関するもの73件、合計115件でした(表1)。

 届出受付開始(2004年7月8日)からの累計は、ソフトウェア製品に関するもの1,126件、ウェブサイトに関するもの5,291件、合計6,417件となりました(表1)。ウェブサイトに関する届出が全体の82%を占めています。ウェブサイトに関する届出は2009年第3四半期から130件前後で推移していましたが、今四半期は前四半期と比較してウェブサイトの届出が減少し、ソフトウェア製品の届出が増加しました(図1)。1就業日あたりの届出件数は2010年第3四半期末で4.22件となりました(表2)。

表1.2010年第3四半期の届出件数
分類 届出件数 累計件数
ソフトウェア製品 42 1,126
ウェブサイト 73 5,291
合計 115 6,417
表2.届出件数(2004年7月8日の届出受付開始から各四半期末時点)
  2007 2008 2009 2010
1Q 1Q 2Q 3Q 4Q 1Q 2Q 3Q 4Q 1Q 2Q 3Q
累計届出件数[件] 1,310 2,045 2,342 2,885 4,375 5,227 5,656 5,826 5,977 6,148 6,302 6,417
1就業日あたり
[件/日]
1.95 2.24 2.38 2.79 4.00 4.53 4.66 4.56 4.47 4.40 4.33 4.22

図1.脆弱性関連情報の届出件数の四半期別推移

1.2 脆弱性の修正完了状況

 ~脆弱性の修正完了件数が3,600件を突破しました~

 ソフトウェア製品の脆弱性の届出に関して、JPCERT/CCが調整を行い、製品開発者が修正を完了し、 2010年 第3四半期 にJVN(*1)で対策情報を公表したものは9件(累計435件)でした(表3)。

 ウェブサイトの脆弱性の届出に関して、IPAがウェブサイト運営者に通知を行い、 2010年 第3四半期 に修正を完了したものが157件(累計3,209件)でした(表3)。

表3. 2010年 第3四半期 の修正完了状況
分類 修正完了件数 累計件数
ソフトウェア製品 9 435
ウェブサイト 157 3,209
合計 166 3,644

2.ソフトウェア製品の脆弱性の処理状況

 2010年 第3四半期 のソフトウェア製品の脆弱性の処理状況は、JPCERT/CCが調整(*2)を行い、製品開発者が脆弱性の修正を完了し、JVNで対策情報を公表したものが9件(累計435件)、製品開発者が個別対応を行ったものは0件(累計17件)、製品開発者が脆弱性ではないと判断したものは3件(累計42件)、告示で定める届出の対象に該当せず不受理としたものは7件(*3)(累計163件)でした。これら取扱いを終了したものの合計は19件(累計657件)です(表4)。

 この他、海外のCSIRT(*4)からJPCERT/CCが連絡を受けた32件(累計529件)をJVNで公表しました。これらの公表済み件数の期別推移を図2に示します。

表4.製品の脆弱性の終了件数
分類 件数 累計
修正完了 公表済み 9 435
個別対応 0 17
脆弱性ではない 3 42
不受理 7 163
合計 19 657

図2.ソフトウェア製品の脆弱性対策情報の公表件数

2.1 JVNで公表した主な脆弱性対策情報

 今四半期は、(1)「Microsoft Windows」におけるサービス運用妨害 (DoS) の脆弱性(*5)、(2) 「SEIL/X シリーズ」および「SEIL/B1」における IPv6 Unicast RPF 機能に関する脆弱性(*6)、(3)「moobbs」におけるクロスサイト・スクリプティングの脆弱性(*7)、(4)「moobbs2」におけるクロスサイト・スクリプティングの脆弱性(*8)、(5) futomi's CGI Cafe 製「高機能アクセス解析CGI」におけるクロスサイト・スクリプティングの脆弱性(*9)などの脆弱性対策情報をJVNで公表しました。

2.2 製品開発者はIPv6の脆弱性を作りこまないように

 2010年第3四半期は、IPv6に関連する脆弱性が2件修正されJVNで対策情報を公表しました。 今四半期にはIPv6に関連し、意図しない通信が行われる脆弱性(JVN#12683004)や、OSが使用不能になる脆弱性(JVN#86832361)が修正されました。また2009年にも、ネットワーク機器などが使用不能になる脆弱性(JVN#75368899)が修正されています。これらの原因は、IPv6 Unicast Reverse Path Forwarding機能、IPv6拡張ヘッダーの処理、Neighbor Discovery Protocolに関連したパケットの処理に、それぞれ問題がありました。このようにIPv6は、IPv4にない機能を多く含んでおり、そのような部分に脆弱性が発見されています。OSやネットワーク機器において、IPv6機能は以前から提供されていましたが、今後、新規に割り当てることができるIPv4アドレスの枯渇に伴い、IPv6が実運用に入る例が増えると考えられます。

 製品開発者は、下記のツールやドキュメントを参考にして、IPv6に関する既知の脆弱性を作り込まないとともに、新たな脆弱性への対応能力を高めていく必要があります。

  • TCP/IPに係る既知の脆弱性検証ツール(*10)
  • TCP/IPに係る既知の脆弱性に関する調査報告書(*11)
  • 組込みシステムのセキュリティへの取組みガイド(2010年度改訂版)(*12)

3.ウェブサイトの脆弱性の処理状況

 2010年 第3四半期 のウェブサイトの脆弱性の処理状況は、IPAが通知を行い、ウェブサイト運営者が修正を完了したものが157件(累計3,209件)、IPAが注意喚起等を行った後に取扱いを終了したものが14件(累計1,130件)、IPAおよびウェブサイト運営者が脆弱性ではないと判断したものが12件(累計247件)、ウェブサイト運営者と連絡が不可能なものが1件(累計22件)、告示で定める届出の対象に該当せず不受理としたものが5件(*13)(累計148件)でした。

 取扱いを終了したものの合計は189件(累計4,756件)です(表5)。これらのうち、修正完了件数の期別推移を図3に示します。

表5.ウェブサイトの脆弱性の終了件数
分類 件数 累計
修正完了 157 3,209
注意喚起 14 1,130
脆弱性ではない 12 247
連絡不可能 1 22
不受理 5 148
合計 189 4,756

図3.ウェブサイトの脆弱性の修正完了件数

3.1 届出のあった対象ウェブサイトの運営主体の内訳と脆弱性の種類

 今四半期にIPAに届出のあったウェブサイトの脆弱性関連情報73件のうち、不受理としたものを除いた69件について、対象ウェブサイトの運営主体別内訳は、企業合計が37件(53%)、地方公共団体が21件(31%)、教育・学術機関が3件(4%)、個人が3件(4%)などです(図4)。

 また、これらの脆弱性の種類は、クロスサイト・スクリプティングが25件(36%)、SQLインジェクションが23件(33%)、セッション管理の不備が11件(16%)などとなり(図5)、前四半期と比較して、「クロスサイト・スクリプティング」の届出が大幅に減少(前四半期:88件、今四半期:25件)し、代わりに、「SQLインジェクション」(前四半期:9件、今四半期:23件)、「セッション管理の不備」(前四半期:4件、今四半期:11件)の届出が大幅に増加しています。

 ウェブサイト運営者は脆弱性を作り込まないようなウェブサイトの企画・設計にあたることが必要です。届出件数が多く広く知れ渡っている脆弱性は、悪意のある第三者に発見される可能性も高く、特に注意する必要があります。

(左)図4.ウェブサイトの運営主体(2010年3Q)、(右)図5.ウェブサイトの脆弱性の種類(2010年3Q)

3.2 ウェブサイトの脆弱性で取扱いが長期化(90日以上)している届出は394件

 ウェブサイト運営者から脆弱性を修正した旨の通知が無い場合、IPAは脆弱性が攻撃された場合の脅威を分かりやすく解説するなど、1~2か月毎に電子メールや電話、郵送などの手段で脆弱性対策を促しています。

  ウェブサイトの脆弱性関連情報のうち、取扱いが長期化(IPAからウェブサイト運営者へ脆弱性関連情報を通知してから今四半期末までに脆弱性を修正した旨の通知が無く90日以上経過)しているものについて、経過日数毎の件数を図6に示します。経過日数が90日から199日に達したものは31件、200日から299日のものは27件など、これらの合計は394件(前四半期は440件)です。前四半期の440件のうち、今四半期に72件が取扱終了となり減少した一方、新たに26件が90日以上経過したため増加し、合計で前四半期から46件の減少となりました。

 ウェブサイトの情報が盗まれてしまう可能性のあるSQLインジェクションのように、深刻度の高い脆弱性でも修正が長期化しているものがあります。ウェブサイト運営者は脆弱性を攻撃された場合の脅威を認識し、迅速な対策を講じる必要があります。

図6.取扱いが長期化(90日以上経過)しているウェブサイトの経過日数と脆弱性の種類

3.3 ウェブサイトの運営者はセッション管理や認証の脆弱性にも注意を

 2009年10月から2010年9月末までの1年間に届出のあったウェブサイトの脆弱性459件のうち、不受理としたものを除いた436件について、脆弱性の種類で分類すると、クロスサイト・スクリプティング246件(56%)、SQLインジェクション69件(16%)、セッション管理の不備26件(6%)、HTTPSの不適切な利用24件(6%)、認証に関する不備19件(4%)、ファイルの誤った公開14件(3%)となっています(図7)。

 また、2009年第4四半期以降、四半期別に届出割合の推移を見ると、セッション管理の不備及び、認証に関する不備の届出が目立ってきています(図8)。届出全体に占める比率はまだ小さいものの、本届出制度開始から2009年9月末までの5年3か月間の累計がそれぞれ40件、29件であったものが、2009年10月から2010年9月末での1年間でそれぞれ26件、19件となっています。(図9)。

 これらの脆弱性に関する届出は、携帯電話向けのウェブサイトや、複数のウェブサイト(ウェブページ)間で連携する機能を持ったソーシャルネットワーキングサービス(SNS)等のウェブサイトに対するものが、最近特に増えています。

 これらの届出の傾向により、ウェブサイト運営者は、クロスサイト・スクリプティング、SQLインジェクションの脆弱性対策だけではなく、セッション管理の不備及び認証に関する不備についての脆弱性にも注意して対応することが重要です。中でも、携帯電話向けのウェブサイトや、複数のウェブサイト(ウェブページ)間で連携する機能を持ったウェブサイトの運営者は、セッション管理の不備及び認証に関する不備の脆弱性には特に注意して対応してください。

(左)図7.脆弱性の種類別届出割合、(右)図8.四半期別 脆弱性の種類別届出件数

図9.脆弱性の種類別届出件数推移

3.4 ウェブサイトの運営者は外部からの脆弱性の指摘に対応できる体制の整備を

 2009年10月から2010年9月末までの1年間に届出されたウェブサイトのうち、ウェブサイト運営者へ脆弱性情報を通知した届出326件(*14)について、IPA が連絡先を特定し、特定した連絡先に連絡を取り始めてから実際に脆弱性情報を通知するまでに要した日数(*15)は、7日以内が261件(80%)、8~30日が50件(15%)、31日以上が15件(5%)でした(図10)。ウェブサイトの運営主体別では、団体や教育・学術機関が時間を要する傾向にあります(図11)。

(左)図10.脆弱性情報の通知に要した日数、(右)図11.ウェブサイトの運営主体別脆弱性情報の通知に要した日数

 脆弱性情報を通知するのに、1週間以上を要している届出65件(20%)のうち、IPAからの連絡に対してウェブサイト運営者から返信がないため脆弱性情報の通知に時間を要した届出が52件(80%)あります。また、脆弱性情報を通知するのに8日以上要しているウェブサイトで、80%以上が個人情報を取り扱っています(図12)。

 脆弱性情報を通知するのに要した日数が7日以内である届出では、177件(68%)が90日以内に取扱い終了しており(図13)、脆弱性情報を通知するのに日数を要していないウェブサイト運営者は、脆弱性対策についても迅速に対応をしています。

(左)図12.脆弱性情報の通知に要した日数別個人情報取扱いの有無、(右)図13.脆弱性情報の通知に要した日数別の取扱い状況

 脆弱性が悪用された場合、個人情報漏洩やその他の被害が発生する可能性があります。ウェブサイト運営者は外部から脆弱性に関する連絡を受け、その脆弱性に適切な対策を実施できる体制を整備することが重要となります。

脚注

(*1)Japan Vulnerability Notes:脆弱性対策情報ポータルサイト。国内で利用されている製品の脆弱性対策情報を公表し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/

(*2)JPCERT/CC活動概要 Page13~18(https://www.jpcert.or.jp/pr/2010/PR20101007.pdf)を参照下さい。

(*3)今四半期の中で不受理とした1件、前四半期までの届出の中で今期に不受理とした6件の合計です。

(*4)Computer Security Incident Response Team。コンピュータセキュリティインシデント対応チーム。コンピュータセキュリティに関するインシデント(事故)への対応・調整・サポートをする組織です。

(*5)本脆弱性の深刻度=レベルIII(危険)、CVSS基本値=7.8、別紙2 P.4表1-2項番1を参照下さい。

(*6)本脆弱性の深刻度=レベルII(警告)、CVSS基本値=4.3、別紙2 P.5表1-2項番6を参照下さい。

(*7)本脆弱性の深刻度=レベルII(警告)、CVSS基本値=5.0、別紙2 P.5表1-2項番7を参照下さい。

(*8)本脆弱性の深刻度=レベルII(警告)、CVSS基本値=5.0、別紙2 P.5表1-2項番8を参照下さい。

(*9)本脆弱性の深刻度=レベルII(警告)、CVSS基本値=4.3、別紙2 P.5表1-2項番9を参照下さい。

(*10)http://www.ipa.go.jp/security/vuln/vuln_TCPIP_Check.html

(*11)http://www.ipa.go.jp/security/vuln/vuln_TCPIP.html

(*12)http://www.ipa.go.jp/security/fy22/reports/emb_app2010/

(*13)今四半期の中で不受理とした4件、前四半期までの届出の中で今期に不受理とした1件の合計です。

(*14)「不受理」、「注意喚起」、「脆弱性ではないため取扱い終了」、「運営主体が地方公共団体」を除く

(*15)IPAからウェブサイトに記載されている問合せ窓口に連絡を取り、ウェブサイトを運営している担当者へ取り次いでもらった後に、担当者宛に脆弱性情報を送付しています。

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター 渡辺/大森
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。

JPCERT/CC 情報流通対策グループ 古田
Tel: 03-3518-4600 Fax: 03-3518-4602
E-mail: 電話番号:03-3518-4600までお問い合わせください。

更新履歴

2010年10月21日 掲載