HOME情報セキュリティ情報セキュリティ対策脆弱性対策ソフトウェア等の脆弱性関連情報に関する届出状況[2013年第2四半期(4月~6月)]

本文を印刷する

情報セキュリティ

ソフトウェア等の脆弱性関連情報に関する届出状況[2013年第2四半期(4月~6月)]

掲載日 2013年7月22日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター

  • 以下は、「ソフトウェア等の脆弱性関連情報に関する活動報告レポート」1章の抜粋です。

1. 2013年第2四半期 ソフトウェア等の脆弱性関連情報に関する届出状況

1.1 脆弱性関連情報の届出状況

 ~脆弱性の届出件数の累計が8,671件になりました~

 「情報セキュリティ早期警戒パートナーシップ(*1)」(以降、本制度)における届出状況について、表1-1は2013年第2四半期の脆弱性関連情報の届出件数および届出受付開始(2004年7月8日)から今四半期までの累計件数を示しています。今期の届出件数はソフトウェア製品に関する届出は47件、ウェブサイト(ウェブアプリケーション)に関する届出は185件、合計232件でした。届出受付開始からの累計件数は、ソフトウェア製品に関するもの1,573件、ウェブサイトに関するもの7,098件、合計8,671件となりました。ウェブサイトに関する届出が全体の82%を占めています。

 図1-1のグラフは過去3年間の届出件数の四半期別推移を示したものです。今四半期のソフトウェア製品、ウェブサイトに関する届出はともに前四半期よりも減少しています。表1-1は過去3年間の四半期別の累計届出件数および1就業日あたりの届出件数の推移です。1就業日あたりの届出件数は今四半期末で3.94(*2)件となっています。

図1. 脆弱性届出の推移

表1-1.届出件数(過去3年間)
  2010 2011 2012 2013
3Q 4Q 1Q 2Q 3Q 4Q 1Q 2Q 3Q 4Q 1Q 2Q
累計届出件数
[件]
6,414 6,481 6,569 6,652 6,887 7,314 7,583 7,753 7,948 8,168 8,439 8,671
1就業日あたり
[件/日]
4.22 4.10 4.01 3.92 3.91 4.01 4.03 3.99 3.96 3.95 3.97 3.94

1.2 脆弱性の修正完了状況

 ~ソフトウェア製品およびウェブサイトの修正件数が5,600件を超過しました~

 表1-2は今四半期のソフトウェア製品とウェブサイトの修正完了件数および届出受付開始から今四半期までの累計件数を示しています。

 ソフトウェア製品の脆弱性の届出のうち、製品開発者が修正を完了し、今四半期にJVNで対策情報を公表したものは37件(*3)(累計759件)でした。2010年第4四半期以降は修正完了件数が30件前後で推移しています。今四半期に対策情報を公表した37件のうち、届出を受理してから公表までに46日(*4)以上経過したものは26件でした。

 ウェブサイトの脆弱性関連情報の届出のうち、IPAがウェブサイト運営者に通知を行い、今四半期に修正を完了したものは170件(累計4,915件)でした。修正を完了した170件のうち、ウェブアプリケーションを修正したものが139件(82%)、当該ページを削除したもの29件(17%)、運用で回避したもの2件(1%)でした。なお、修正を完了した170件のうち73件(43%)は、運営者へ脆弱関連情報を通知してから修正完了までに91日(*5)以上要した届出です。今四半期は、前四半期(196件中42件(21%))より修正完了までに91日以上要した届出の修正完了した割合が増加しています。

表1-2.修正完了件数
分類 今期件数 累計件数
ソフトウェア製品 37 759
ウェブサイト 170 4,915
合計 207 5,674

1.3 調整不能案件の取扱い状況

 本制度において届出を受け付けたソフトウェア製品の開発者に対して、一定期間にわたり連絡を試みても連絡が取れない製品開発者を「連絡不能開発者」と位置づけています。製品開発者と連絡をとる糸口を得るために、「連絡不能開発者一覧(*6)」において段階的に製品開発者名と製品情報を公表することで、製品開発者からの連絡および関係者からの情報提供を求めています。

(1) 連絡不能開発者一覧の公表状況

 今四半期は新たに「製品開発者名」を公表していません。また、既に公表後一定期間(約3ヶ月)が経過したものの連絡が取れず、広く関係者からの情報提供を求めるために「製品開発者名」に加えて「製品情報(対象製品の具体的な名称およびバージョン)」を公表したものは3件(累計108件)でした。

(2) 連絡不能開発者一覧の公表後の対応状況

 今四半期に、製品開発者から応答があったのは2件でした。これまでに製品開発者から応答があった18件のうち、7件が本制度における取扱いを終了しました。

1.4 注目すべき脆弱性

 ~CMS(Contents Management System)等におけるアップデートの周知を~

 2013年の第2四半期中には、ウェブサイトを改ざんされる事件が多発し、IPA(*7)やJPCERT/CC(*8)を初め、複数のセキュリティ機関から注意が呼びかけられました。IPAが発表した「2013年6月の呼びかけ(*9)」では、ウェブサイト改ざんの原因は「脆弱性悪用」の割合が高く、その中でもCMS(ウェブサイトを簡易に構築・管理するためのソフトウェアの総称:Contents Management System)の脆弱性が悪用される事例が示されています。

 「情報セキュリティ早期警戒パートナーシップ」においても、CMSに関連する届出は多く、JVNでも脆弱性対策情報として数多く公表しています。第2四半期では、ショッピングサイトを構築するためのソフトウェアであるEC-CUBEの脆弱性対策情報について、5月には4件、6月には5件の合計9件を公表しています。

表1-3.2013年第2四半期におけるEC-CUBEに関する脆弱性公表
公開日時 JVN番号 脆弱性タイトル
2013/05/23 JVN#52552792 EC-CUBE におけるクロスサイト・スクリプティングの脆弱性
2013/05/23 JVN#00985872 EC-CUBE におけるセッション固定の脆弱性
2013/05/23 JVN#45306814 EC-CUBE におけるアクセス制限不備の脆弱性
2013/05/23 JVN#39699406 EC-CUBE における不適切な入力確認に起因する情報漏えいの脆弱性
2013/06/27 JVN#43886811 EC-CUBE におけるディレクトリ・トラバーサルの脆弱性
2013/06/27 JVN#34900750 EC-CUBE におけるコードインジェクションの脆弱性
2013/06/27 JVN#07192063 EC-CUBE におけるクロスサイト・スクリプティングの脆弱性
2013/06/27 JVN#98665228 EC-CUBE におけるクロスサイト・スクリプティングの脆弱性
2013/06/27 JVN#04161229 EC-CUBE におけるディレクトリ・トラバーサルの脆弱性

 CMSのようなウェブサイトを構築するためのソフトウェアに脆弱性が存在すると、当該ソフトウェアを使用しているウェブサイト自体が脆弱な状態となります。また、広く使用されているソフトウェアの脆弱性や攻撃手法が攻撃者に知れ渡ると、大規模な攻撃に発展する可能性があります。

 CMSを利用しているウェブサイト運営者は、CMSの脆弱性対策を行うことが重要です。また、製品開発者は、脆弱性対策に努めるとともに、利用者に対して対策状況をアナウンスすることも重要です。「情報セキュリティ早期警戒パートナーシップ」では、JVNで周知をすることを目的とした製品開発者自身からの脆弱性届出を受け付けています。製品開発者は、修正版を提供するだけではなく、前述のEC-CUBEのように「情報セキュリティ早期警戒パートナーシップ」を活用し、利用者への周知の実施をIPAおよびJPCERT/CCは希望します。

脚注

(*1)情報セキュリティ早期警戒パートナーシップガイドライン
http://www.ipa.go.jp/security/ciadr/partnership_guide.html
https://www.jpcert.or.jp/vh/index.html

(*2)1就業日あたりの届出件数は、「累計届出件数」/「届出受付開始からの就業日数」にて算出

(*3)表2-3参照

(*4)公表日の目安は、脆弱性関連情報の取扱を開始した日時から起算して45日後としています。

(*5)対処の目安は、脆弱性関連情報の通知を受けてから、3ヶ月以内としています。

(*6)連絡不能開発者一覧:
http://jvn.jp/reply/index.html

(*7) https://www.ipa.go.jp/security/topics/alert20130626.html

(*8) https://www.jpcert.or.jp/at/2013/at130027.html

(*9) http://www.ipa.go.jp/security/txt/2013/06outline.html

資料のダウンロード

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター 渡辺/大森
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。

JPCERT/CC 情報流通対策グループ 古田
Tel: 03-3518-4600 Fax: 03-3518-4602
E-mail: 電話番号:03-3518-4600までお問い合わせください。

更新履歴

2013年7月22日 掲載