HOME情報セキュリティ情報セキュリティ対策脆弱性対策ソフトウェア等の脆弱性関連情報に関する届出状況[2013年第3四半期(7月~9月)]

本文を印刷する

情報セキュリティ

ソフトウェア等の脆弱性関連情報に関する届出状況[2013年第3四半期(7月~9月)]

掲載日 2013年10月22日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター

  • 以下は、「ソフトウェア等の脆弱性関連情報に関する活動報告レポート」1章の抜粋です。

1. 2013年第3四半期 ソフトウェア等の脆弱性関連情報に関する届出状況

1.1 脆弱性関連情報の届出状況

 ~脆弱性の届出件数の累計が8,985件になりました~

 「情報セキュリティ早期警戒パートナーシップ(*1)」(以降、本制度)における届出状況について、表1-1は2013年第3四半期の脆弱性関連情報の届出件数および届出受付開始(2004年7月8日)から今四半期までの累計件数を示しています。今期の届出件数はソフトウェア製品に関する届出は51件、ウェブサイト(ウェブアプリケーション)に関する届出は266件、合計317件でした。届出受付開始からの累計件数は、ソフトウェア製品に関するもの1,620件、ウェブサイトに関するもの7,365件、合計8,985件となりました。ウェブサイトに関する届出が全体の82%を占めています。

 図1-1のグラフは過去3年間の届出件数の四半期別推移を示したものです。今四半期のソフトウェア製品、ウェブサイトに関する届出はともに前四半期よりも増加しています。表1-2は過去3年間の四半期別の累計届出件数および1就業日あたりの届出件数の推移です。1就業日あたりの届出件数は今四半期末で3.97(*2)件となっています。

表1-1.届出件数
分類 今期件数 累計件数
ソフトウェア製品 51 1,620
ウェブサイト 266 7,365
合計 317 8,985

図1-1. 脆弱性関連情報の届出件数の四半期別推移

表1-2.届出件数(過去3年間)
  2010 2011 2012 2013
4Q 1Q 2Q 3Q 4Q 1Q 2Q 3Q 4Q 1Q 2Q 3Q
累計届出件数
[件]
6,481 6,569 6,652 6,887 7,314 7,583 7,753 7,949 8,169 8,436 8,668 8,985
1就業日あたり
[件/日]
4.10 4.01 3.92 3.91 4.01 4.03 3.99 3.96 3.95 3.97 3.94 3.97

1.2 脆弱性の修正完了状況

 ~ソフトウェア製品およびウェブサイトの修正件数が5,900件を超過しました~

 表1-3は今四半期のソフトウェア製品とウェブサイトの修正完了件数および届出受付開始から今四半期までの累計件数を示しています。

 ソフトウェア製品の脆弱性の届出のうち、製品開発者が修正を完了し、今四半期にJVNで対策情報を公表したものは26件(*3)(累計785件)でした。2010年第4四半期以降は修正完了件数は30件前後で推移しています。今四半期に対策情報を公表した26件のうち、届出を受理してから公表までに46日(*4)以上経過したものは16件(62%)でした。

 ウェブサイトの脆弱性関連情報の届出のうち、IPAがウェブサイト運営者に通知を行い、今四半期に修正を完了したものは204件(累計5,119件)でした。修正を完了した204件のうち、ウェブアプリケーションを修正したものが180件(88%)、当該ページを削除したもの22件(11%)、運用で回避したもの2件(1%)でした。なお、修正を完了した204件のうち48件(24%)は、運営者へ脆弱関連情報を通知してから修正完了までに91日(*5)以上要した届出です。今四半期は、前四半期(170件中73件(43%))より修正完了までに91日以上要した届出の修正完了した割合が減少しています。

表1-3.修正完了件数
分類 今期件数 累計件数
ソフトウェア製品 26 785
ウェブサイト 204 5,119
合計 230 5,904

1.3 調整不能案件の取扱い状況

 本制度において届出を受け付けたソフトウェア製品の開発者に対して、一定期間にわたり連絡を試みても連絡が取れない製品開発者を「連絡不能開発者」と位置づけています。製品開発者と連絡をとる糸口を得るために、「連絡不能開発者一覧(*6)」において段階的に製品開発者名と製品情報を公表することで、製品開発者からの連絡および関係者からの情報提供を求めています。

(1) 連絡不能開発者一覧の公表状況

 今四半期は新たに「製品開発者名」を4件公表しました。また、今四半期は新たに「製品開発者名」に加えて「製品情報(対象製品の具体的な名称およびバージョン)」を公表したものはありません。今四半期末時点における「連絡不能開発者一覧」への公表中件数は、110件となります。

(2) 連絡不能開発者一覧の公表後の取扱状況

 今四半期に、製品開発者から応答があったものはありません。これまでに製品開発者から応答があった18件のうち、8件が本制度における取扱いを終了しました。

1.4 注目すべき脆弱性

1-4-1. 古いバージョンのCMSを利用しているウェブサイトが確認

 ~CMS本体だけでなく、CMSのプラグインのバージョンも要チェック~

 2013年の第2四半期に引き続き、ウェブサイト改ざんの被害が増加しています。9月には、IPAやJPCERT/CCをはじめ、複数の組織から注意が呼びかけられました(*7)(*8)。ウェブサイト改ざんでは、CMS(ウェブサイトを簡易に構築・管理するためのソフトウェアの総称:Contents Management System)の古いバージョンに存在する脆弱性が悪用された事例が確認されています。

 「情報セキュリティ早期警戒パートナーシップ」においても、脆弱性が存在する古いバージョンのCMSを利用している旨の届出が届出開始から今四半期までの累計で118件ありました。そのうち、41件が今四半期(7~9月)に届出られたものあり、依然として脆弱性が存在する古いバージョンのCMSを利用していることがうかがえます。

図1-2. 古いバージョンのCMS利用に関する届出件数

 届出の中には、データベースが不正に操作されるSQLインジェクションの脆弱性や、第三者にウェブページの編集を可能にしてしまうアクセス制限回避の脆弱性が含まれているバージョンがありました 。これらの脆弱性を放置すると、重要な情報の漏えいや、ウェブページが改ざんされる可能があり危険です。

 脆弱性は、CMS本体だけでなくCMSの機能を拡張する「プラグイン」にも存在する場合があります。プラグインの脆弱性についても攻撃が観測されています(*9)が、対策は見落とされがちです。

 ウェブサイト運営者は、利用しているCMSやプラグインのバージョンを確認し、古い場合は速やかに最新バージョンへのアップデート等の脆弱性対策を実施してください。アップデートが困難な場合は、開発元が公開している情報を基に、回避策の適用を実施してください。

1-4-2. ウェブアプリケーションフレームワークの脆弱性を狙った攻撃の広がりについて

 ~Apache Strutsの脆弱性を狙った攻撃が国内でも観測される~

 9月6日に公開したJVN#33504150「『Apache Struts』において任意のコマンドを実行される脆弱性」(*10)には、その脆弱性を狙った攻撃が国内でも観測されていました(*11)。攻撃が成功した場合、サーバ上で任意のコマンドを実行される可能性があります。これは、ウェブサイトが改ざんされたり、サーバが乗っ取られて踏み台にされたりするなどの被害に繋がるものです。

図1-3. Apache Struts の脆弱性を悪用した攻撃の概要

 このApache Strutsに限らず、ウェブアプリケーションフレームワーク(ウェブアプリケーションの基盤となる機能を提供し、開発を助けてくれる仕組み)(*12)の脆弱性を狙った攻撃はここ数年継続しており、ウェブサイト改ざんなどの被害にも繋がっています。今後も同様の攻撃は続くことが予想されるため、継続的な対策が欠かせません。

 ウェブアプリケーションフレームワークは、その上で稼動するウェブアプリケーションと密に連携していることが多く、ウェブアプリケーションフレームワークをバージョンアップするためにはウェブアプリケーションの部分的な改修を要する場合があります。しかしウェブアプリケーションが改修できない場合には、ウェブアプリケーションフレームワークもバージョンアップできないことがあり、ウェブサイトの安全な運用に支障をきたします。

 ウェブサイト運営者は具体的な対応策として、ウェブアプリケーションを開発した際の設計資料やソースコード等の管理、ウェブアプリケーションに関係するプログラミング言語やフレームワークに明るい技術者の確保、などが求められます。また、こうした運用ができるだけ速やかにできるよう、自組織の運用体制で適切に管理できるウェブアプリケーションフレームワークの選定も重要です。

脚注

(*1)情報セキュリティ早期警戒パートナーシップガイドライン
http://www.ipa.go.jp/security/ciadr/partnership_guide.html
https://www.jpcert.or.jp/vh/index.html

(*2)1就業日あたりの届出件数は、「累計届出件数」/「届出受付開始からの就業日数」にて算出

(*3)表2-3参照

(*4)公表日の目安は、脆弱性関連情報の取扱を開始した日時から起算して45日後としています。

(*5)対処の目安は、脆弱性関連情報の通知を受けてから、3ヶ月以内としています。

(*6)連絡不能開発者一覧:
http://jvn.jp/reply/index.html

(*7) https://www.ipa.go.jp/security/topics/alert20130906.html

(*8) https://www.ipa.go.jp/security/topics/alert20130913.html

(*9) http://www-935.ibm.com/services/jp/its/pdf/tokyo_soc_report2013_h1.pdf#page=8

(*10) https://jvn.jp/jp/JVN33504150/

(*11) https://www.jpcert.or.jp/at/2013/at130033.html

(*12) https://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/004.html

資料のダウンロード

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター 渡辺/大森
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。

JPCERT/CC 情報流通対策グループ 古田
Tel: 03-3518-4600 Fax: 03-3518-4602
E-mail: 電話番号:03-3518-4600までお問い合わせください。

更新履歴

2013年10月22日 掲載