ソフトウェア等の脆弱性関連情報に関する届出状況
[2011年第1四半期(1月〜3月)]
掲載日 2011年4月20日
独立行政法人 情報処理推進機構
セキュリティセンター
2011年第1四半期 ソフトウェア等の脆弱性関連情報に関する届出状況
1. 脆弱性関連情報の届出状況
〜脆弱性の届出件数の累計が6,570件になりました〜
表1は2011年第1四半期のIPAへの脆弱性関連情報の届出件数および届出開始(2004年7月8日)から今四半期までの累計件数を示しています。今期の届出件数はソフトウェア製品に関するもの19件、ウェブアプリケーション(ウェブサイト)に関するもの68件、合計87件でした。届出受付開始からの累計件数は、ソフトウェア製品に関するもの1,164件、ウェブサイトに関するもの5,406件、合計6,570件となりました。ウェブサイトに関する届出が全体の82%を占めています。
図1のグラフは過去3年間の届出件数の四半期別推移を示したものです。今四半期のソフトウェア製品の届出は前四半期とほぼ同数で推移し、ウェブサイトの届出は前四半期と比較して増加しています。表2は過去3年間の四半期別の累計届出件数および1就業日あたりの届出件数の推移です。1就業日あたりの届出件数は2011年第1四半期末で4.01件となりました。
| 分類 | 今期件数 | 累計件数 |
|---|---|---|
| ソフトウェア製品 | 19 件 | 1,164 件 |
| ウェブサイト | 68 件 | 5,406 件 |
| 合計 | 87 件 | 6,570 件 |
| 2008 | 2009 | 2010 | 2011 | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 2Q | 3Q | 4Q | 1Q | 2Q | 3Q | 4Q | 1Q | 2Q | 3Q | 4Q | 1Q | |
| 累計届出件数 [件] |
2,322 | 2,885 | 4,374 | 5,226 | 5,655 | 5,825 | 5,976 | 6,147 | 6,301 | 6,416 | 6,483 | 6,570 |
| 1就業日あたり [件/日] |
2.39 | 2.78 | 3.99 | 4.53 | 4.65 | 4.56 | 4.47 | 4.40 | 4.32 | 4.22 | 4.11 | 4.01 |
図2のグラフは今四半期に届出されたソフトウェア製品の脆弱性関連情報19件のうち、不受理を除いた17件の製品種類の内訳を、図3は脆弱性の脅威の内訳を示したものです。製品の種類は「アプリケーション開発・実行環境」が最も多く、次いで「ウェブアプリケーション」となっています。脆弱性の脅威は「サービス不能」、「任意のスクリプト実行」、「任意のコード実行」が多く届出されており、これらの届出で全体の8割強を占めています。
図4のグラフは今四半期に届出されたウェブサイトの脆弱性関連情報68件のウェブサイト運営主体の内訳を、図5は脆弱性の種類の内訳を示したものです。運営主体は企業が全体の75%を占めています。また、脆弱性の種類は「クロスサイト・スクリプティング」が最も多く、次いで「SQLインジェクション」、「セッション管理の不備」となっています。
2. 脆弱性の修正完了状況
〜ソフトウェア製品の修正件数が、前四半期と同様に多く、堅調に推移しました〜
表3は2011年第1四半期のソフトウェア製品とウェブサイトの修正完了件数および届出開始から今四半期までの累計件数を示しています。
ソフトウェア製品の脆弱性の届出に関して、JPCERT/CCが調整を行い、製品開発者が修正を完了し、 2011年第1四半期にJVN(*1)で対策情報を公表したものは24件(累計490件)でした。前四半期(31件)に引き続き同じ水準で公表されています。JVNで公表した24件のうち、製品開発者からの届出(自社製品の届出)が5件あり、公表した全件数の21%を占めています。製品開発者からの届出についても、前四半期(16%)と同様高い割合でした。(別紙2 表1-3参照)。本届出制度は、ソフトウェア製品の利用者に広く脆弱性対策情報を公表するために有効な手段として利用されています。製品開発者には、今後も、自社製品の脆弱性対策情報の周知にJVNを積極的に利用する事を期待します。
ウェブサイトの脆弱性関連情報の届出に関して、IPAがウェブサイト運営者に通知を行い、 2011年第1四半期に修正を完了したものは107件(累計3,449件)でした。修正完了した107件の内訳は、ウェブサイト運営者がウェブサイトを修正したものが66件(62%)、当該ページを削除したものが40件(37%)、運用で回避したものが1件(1%)でした。なお、修正完了した107件のうち76件(71%)は、届出されてから修正完了まで1年以上経過していました。ウェブサイト運営者による、速やかな対策を期待します。
| 分類 | 今期件数 | 累計件数 |
|---|---|---|
| ソフトウェア製品 | 24 件 | 490 件 |
| ウェブサイト | 107 件 | 3,449 件 |
| 合計 | 131 件 | 3,939 件 |
3. ソフトウェア製品の脆弱性に関するトピック
〜製品開発者はそれぞれの製品に多く見られがちな脆弱性を作り込まないように〜
図6のグラフは届出受付開始から今四半期までにIPAに届出があったソフトウェア製品に関する脆弱性関連情報1,164件のうち、不受理を除いた990件の脆弱性の深刻度の内訳です。レベルT(注意)の届出は219件(22%)、レベルU(警告)の届出は682件(69%)、レベルV(危険)の届出は89件(9%)となり、レベルU以上の届出が8割近くを占めている状況です。
図7のグラフは脆弱性の深刻度がレベルVの届出の脆弱性の脅威の内訳です。任意のコード実行が21件(24%)、サービス不能が13件(15%)、データベースの不正操作が13件(15%)、任意のコマンド実行が11件(13%)となり、これらの脅威で約70%を占めている状況です。
図8のグラフは脆弱性の深刻度がレベルVの届出の製品種類の内訳です。レベルVの届出が多い製品種類は、ウェブアプリケーションソフトが33件(37%)、ルータが10件(11%)、グループウェアが7件(8%)となり、これらの製品で半数を占めています。
図9から図11のグラフは深刻度のレベルVの届出が多い製品について、どの様な脆弱性の脅威があるかについて、それぞれソフトウェア製品毎の内訳を示します。
図9のグラフはウェブアプリケーションソフトのレベルVの届出において、どの様な脅威があるのかを示したものです。ウェブアプリケーションソフトの場合は、データベースの不正操作が11件(34%)、任意のコマンドの実行が7件(21%)、情報の漏洩が5件(15%)、任意のコード実行が4件(12%)となり、これらの脅威で約8割を占めています。
図10のグラフはルータ製品のレベルVの届出において、どの様な脅威があるのかを示したものです。ルータ製品の場合は、サービス不能が6件(60%)、任意のコード実行が2件(20%)、アクセス制限の回避が1件(10%)、設定情報の漏洩が1件(10%)となっています。
図11のグラフはグループウェア製品のレベルVの届出において、どの様な脅威があるのかを示したものです。グループウェア製品の場合は、情報の漏洩が3件(43%)、任意のコードの実行が2件(29%)、サービス不能が1件(14%)、任意のスクリプトの実行が1件(14%)となっています。
これらのソフトウェア製品については、利用者が多く、また、多くの製品が流通しています。製品開発者はこれらのソフトウェア製品を開発する場合は、それぞれのソフトウェア製品で多く見られがちな脆弱性を作り込まない様に、ソフトウェアの企画・設計にあたることが必要です。
4. ウェブサイトの脆弱性に関するトピック
〜携帯電話向けウェブサイトにおける認証方式の見直しを〜
2010年に届出されたウェブサイトの脆弱性関連情報では、携帯電話向けウェブサイト(以降、携帯サイト)における、いわゆる「かんたんログイン」(*2)に関する脆弱性が19件報告されました。これらの届出(2010年以前に報告された5件も含む)について、今四半期末時点で、まだ修正されておらず取扱い中の届出も存在している状況です。この脆弱性が悪用されると、個人情報漏洩事故やなりすまし被害につながるため、ウェブサイト運営者による脆弱性の早期な修正を望みます。
「かんたんログイン」は携帯電話やその契約者ごとに割り振られた携帯電話の識別子だけで利用者を認証する方式の一つですが、安全な実装が簡単ではありません(*3)。また、2010年10月には、「かんたんログイン」に関する脆弱性が原因で個人情報漏洩事故が発生しました。
この脆弱性は2009年第3四半期から報告され始め、それ以降断続的に報告されています(図12)。2011年第1四半期までに、累計24件の届出がありました。この脆弱性が報告されたウェブサイトには、利用者間の情報交換に活用されるブログサービスやソーシャルネットワークサービス(SNS:Social Network Service)、通販サイト(ECサイト)などがあります。これらのようなウェブサイトでは、利便性を高めるために「かんたんログイン」を実装する場合が多く、脆弱性を作り込み易い状況にあるといえます。
「かんたんログイン」を採用している携帯サイトのウェブサイト運営者は、「安全なウェブサイトの作り方 改訂第5版」を参照し、「かんたんログイン」に関する脆弱性を認識してください。「かんたんログイン」が必要な場合でも、PC向けサイトと同様にパスワード等による認証方式を採用することを推奨します。
脚注
(*1)Japan Vulnerability Notes:脆弱性対策情報ポータルサイト。国内で利用されている製品の脆弱性対策情報を公表し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/
(*2)「簡単ログイン」、「クイックログイン」など類似した呼称があります。本文では「かんたんログイン」という呼称で統一します。
(*3)「安全なウェブサイトの作り方 改訂第5版」 2.7.3 携帯IDの使用に関する注意点
http://www.ipa.go.jp/security/vuln/documents/website_security.pdf(PDF)
参考情報
本件に関するお問い合わせ先
IPA セキュリティセンター 渡辺/大森
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: 
JPCERT/CC 情報流通対策グループ 古田
Tel: 03-3518-4600 Fax: 03-3518-4602
E-mail: 
更新履歴
| 2011年4月20日 | 掲載 |
|---|