HOME情報セキュリティ情報セキュリティ対策脆弱性対策ソフトウェア等の脆弱性関連情報に関する届出状況[2012年第1四半期(1月~3月)]

本文を印刷する

情報セキュリティ

ソフトウェア等の脆弱性関連情報に関する届出状況[2012年第1四半期(1月~3月)]

掲載日 2012年4月23日
独立行政法人 情報処理推進機構
セキュリティセンター

2012年第1四半期 ソフトウェア等の脆弱性関連情報に関する届出状況

1. 脆弱性関連情報の届出状況

 ~脆弱性の届出件数の累計が7,581件になりました~

 表1は2012年第1四半期のIPAへの脆弱性関連情報の届出件数および届出受付開始(2004年7月8日)から今四半期までの累計件数を示しています。今期の届出件数はソフトウェア製品に関するもの53件、ウェブサイト(ウェブアプリケーション)に関するもの216件、合計269件でした。届出受付開始からの累計件数は、ソフトウェア製品に関するもの1,339件、ウェブサイトに関するもの6,242件、合計7,581件となりました。ウェブサイトに関する届出が全体の82%を占めています。

 図1のグラフは過去3年間の届出件数の四半期別推移を示したものです。今四半期のソフトウェア製品の届出は前四半期と比較して微増となり、ウェブサイトに関する届出は前四半期の約6割となっています。表2は過去3年間の四半期別の累計届出件数および1就業日あたりの届出件数の推移です。1就業日あたりの届出件数は2012年第1四半期末で4.03(*1)件となりました。

表1.届出件数
分類 今期件数 累計件数
ソフトウェア製品 53 1,339
ウェブサイト 216 6,242
合計 269 7,581

図1. 脆弱性関連情報の届出件数の四半期別推移

表2.届出件数(過去3年間)
  2009 2010 2011 2012
2Q 3Q 4Q 1Q 2Q 3Q 4Q 1Q 2Q 3Q 4Q 1Q
累計届出件数
[件]
5,655 5,825 5,976 6,147 6,301 6,415 6,482 6,570 6,653 6,885 7,312 7,581
1就業日あたり
[件/日]
4.65 4.56 4.47 4.40 4.32 4.22 4.11 4.01 3.91 3.91 4.01 4.03

 図2のグラフは今四半期に届出されたソフトウェア製品の届出53件のうち、不受理を除いた52件の製品種類の内訳を、図3はソフトウェア製品の脅威(*2)の内訳を示したものです。製品種類は「ウェブアプリケーションソフト(*3)」が最も多く、次いで「システム管理ソフト」と「OS」となっています。脅威は「任意のスクリプトの実行」、「情報の漏えい」が多く届出されており、これらの届出で全体の50%を占めています。

(左)図2. 今四半期のソフトウェア製品種類の内訳、(右)図3. 今四半期の脆弱性がもたらす脅威の内訳

 図4のグラフは今四半期に届出されたウェブサイトの届出216件のうち、不受理を除いた213件のウェブサイト運営主体の内訳を、図5は脆弱性の種類の内訳を示したものです。運営主体は「企業」が全体の79%を占めています。また、脆弱性の種類は前四半期と同様に「クロスサイト・スクリプティング」が最も多く、全体の89%を占めています。

(左)図4. 今四半期のウェブサイト運営主体の内訳、(右)図5. 今四半期の脆弱性の種類の内訳

2. 脆弱性の修正完了状況

 ~ソフトウェア製品およびウェブサイトの修正件数が4,600件を突破しました~

 表3は2012年第1四半期のソフトウェア製品とウェブサイトの修正完了件数および届出受付開始から今四半期までの累計件数を示しています。

 ソフトウェア製品の脆弱性の届出のうち、JPCERT/CCが調整を行い、製品開発者が修正を完了し、2012年第1四半期にJVNで対策情報を公表したものは26件(*4)(累計606件)でした。2010年第4四半期以降は修正完了件数が30件前後で推移しています。

 今四半期に対策情報を公表した26件のうち、届出を受理してから45日以内に公表した届出は15件でした。IPAおよびJPCERT/CCは、製品開発者に速やかな対策およびJVNで脆弱性対策情報を公表するための協力を期待します。

 ウェブサイトの脆弱性関連情報の届出のうち、IPAがウェブサイト運営者に通知を行い、 2012年第1四半期に修正を完了したものは218件(累計4,073件)でした。修正を完了した218件の対策内容の内訳は、ウェブアプリケーションを修正したものが201件(92%)、当該ページを削除したものが17件(8%)でした。なお、修正を完了した218件のうち46件(21%)は、届出から修正完了まで90日以上経過していました。IPAはウェブサイト運営者による、速やかな対策実施を期待します。

表3. 修正完了件数
分類 今期件数 累計件数
ソフトウェア製品 26 606
ウェブサイト 218 4,073
合計 244 4,679

3. ソフトウェア製品の脆弱性関連情報に関する届出の傾向

 ~スマートフォンアプリの「アクセス制限の実装上の不備」に起因する脆弱性~

 スマートフォン用のアプリケーション(スマートフォンアプリ)の脆弱性に関する届出がされ始めています。図6は、過去1年間のソフトウェア製品の届出のうち、スマートフォンアプリが占める割合を示しています。スマートフォンアプリに関する届出は、2011年第3四半期より行われるようになり、今四半期までに合計34件が届出られています。図7は、スマートフォンアプリの脆弱性の原因別の内訳を示しています。スマートフォンアプリに関する届出の85%は、「アクセス制限の実装上の不備」により情報漏洩につながる脆弱性です。この傾向から、スマートフォンアプリの開発において、これら「アクセス制限の実装」に対する考慮が見落とされやすいと言えます。

 なお、今四半期は、「アクセス制限の実装上の不備」に起因する脆弱性の届出について、製品開発者と調整をした結果JVNで3件(*5)の脆弱性対策情報を公表しています。

(左)図6. スマートフォンアプリの届出状況(四半期別推移)、(右)図7. スマートフォンアプリの脆弱性による脅威の内訳

 スマートフォンアプリの製品開発者は、情報漏洩につながる脆弱性を作り込まないように、データを管理、共有する機能を実装する際は、アクセス制限の設定(*6)を十分に考慮したうえでスマートフォンアプリを開発してください。

4. ウェブサイトの脆弱性関連情報に関する届出の傾向

 ~古いバージョンのソフトウェア製品を利用することによるウェブサイトの脆弱性~

 ウェブサイトの脆弱性の種類別の届出件数は、「クロスサイト・スクリプティング」が2011年第2四半期以降、各四半期の9割を占めています。今四半期に届出のあった「クロスサイト・スクリプティング」(190件)のうち11%(23件)は、脆弱性が存在する古いバージョンのソフトウェア製品をウェブサイトで利用しているという届出でした(図8)。脆弱性が存在する古いバージョンのソフトウェア製品を利用し続けることにより、当該ソフトウェアの脆弱性を狙った攻撃に晒される危険性があり、脆弱性の種類によっては深刻な被害に発展する可能性があります。ウェブサイトの脆弱性対策は、自組織で開発したウェブアプリケーションの対策と併せて、ウェブサイトで利用しているソフトウェア製品のバージョンアップを定期的に実施し、安全な状態を保つことが重要です。

図8. 古いバージョンのソフトウェア製品を利用しているウェブサイトの届出の割合(今四半期)

 ウェブサイト運営者は、ウェブサイトで利用しているソフトウェア製品に関して、定期的に脆弱性対策情報の収集およびバージョンを確認(*7)し、バージョンが古いまたは、脆弱性が存在するソフトウェア製品を利用している場合は、ソフトウェア製品の脆弱性対策(バージョンアップ等)を実施してください

脚注

(*1)1就業日あたりの届出件数は、「累計届出件数」/「届出受付開始からの就業日数」にて算出

(*2)ソフトウェア製品の脆弱性が悪用された場合に生じる脅威

(*3)ウェブサーバ側で動作し、サービスを提供するソフトウェア(ブログ、掲示板等)

(*4)別紙2表1-3参照

(*5)ES ファイルエクスプローラーにおけるアクセス制限不備の脆弱性(別紙2表1-3項番16参照)
twiccaにおけるアクセス制限不備の脆弱性(別紙2表1-3項番26参照)
複数のクックパッド製 Android アプリケーションにおける WebView クラスに関する脆弱性(別紙2表1-3項番23参照)

(*6)Android アプリの場合、AndroidManifest.xml における Android コンポーネント(アクティビティなど)の設定項目が該当します。
http://developer.android.com/guide/topics/manifest/manifest-intro.html

(*7)脆弱性対策情報の修正およびバージョンの確認の一助として、下記をご活用ください。
脆弱性対策情報データベース「JVN iPedia」:
http://jvndb.jvn.jp/index.html
MyJVN脆弱性対策情報収集ツール:
http://jvndb.jvn.jp/apis/myjvn/mjcheck.html
MyJVN バージョンチェッカ(サーバ用):
http://jvndb.jvn.jp/apis/myjvn/vcchecksrv.html

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター 渡辺/大森
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。

JPCERT/CC 情報流通対策グループ 古田
Tel: 03-3518-4600 Fax: 03-3518-4602
E-mail: 電話番号:03-3518-4600までお問い合わせください。

更新履歴

2012年4月23日 掲載