HOME情報セキュリティ情報セキュリティ対策脆弱性対策ソフトウェア等の脆弱性関連情報に関する届出状況[2013年第4四半期(10月~12月)]

本文を印刷する

情報セキュリティ

ソフトウェア等の脆弱性関連情報に関する届出状況[2013年第4四半期(10月~12月)]

掲載日 2014年1月22日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター

  • 以下は、「ソフトウェア等の脆弱性関連情報に関する活動報告レポート」1章の抜粋です。

1. 2013年第4四半期 ソフトウェア等の脆弱性関連情報に関する届出状況

1.1 脆弱性関連情報の届出状況

 ~脆弱性の届出件数の累計が9,333件になりました~

 「情報セキュリティ早期警戒パートナーシップ(*1)」(以降、本制度)における届出状況について、表1-1は2013年第4四半期の脆弱性関連情報の届出件数および届出受付開始(2004年7月8日)から今四半期までの累計件数を示しています。今期のソフトウェア製品に関する届出件数は88件、ウェブサイト(ウェブアプリケーション)に関する届出は219件、合計307件でした。届出受付開始からの累計件数は9,333件で、内訳はソフトウェア製品に関するもの1,749件、ウェブサイトに関するもの7,584件でウェブサイトに関する届出が全体の81%を占めています。

 図1-1(*2)のグラフは過去3年間の届出件数の四半期別推移を示したものです。今四半期のソフトウェア製品、ウェブサイトに関する届出はともに前四半期よりも減少しています。表1-2は過去3年間の四半期別の累計届出件数および1就業日あたりの届出件数の推移です。今四半期の1就業日あたりの届出件数は4.03(*3)件でした。

表1-1.届出件数
分類 今期件数 累計件数
ソフトウェア製品881,749
ウェブサイト2197,584
合計3079,333

図1-1. 脆弱性関連情報の届出件数の四半期別推移

表1-2.届出件数(過去3年間)
  2011 2012 2013
1Q 2Q 3Q 4Q 1Q 2Q 3Q 4Q 1Q 2Q 3Q 4Q
累計届出件数
[件]
6,569 6,652 6,887 7,313 7,582 7,752 7,948 8,168 8,435 8,667 9,026 9,333
1就業日あたり
[件/日]
4.03 3.93 3.93 4.03 4.05 4.00 3.98 3.78 3.96 3.96 4.00 4.03

 また、図1-2は、届出受付開始から2013年12月末までの届出件数の年別推移です。過去、最も届出が多かったのは、2008年(2,625件)です。2013年はソフトウェア製品が282件、ウェブサイトが883件の合計1,165件でした。ソフトウェア製品の届出件数に関しては、過去最多だった2006年の285件に匹敵する件数です。

図1-2.

1.2 脆弱性の修正完了状況

 ~ソフトウェア製品およびウェブサイトの修正件数が6,100件を超えました~

 表1-3は今四半期と届出受付開始から今四半期までのソフトウェア製品とウェブサイトの修正完了件数を示しています。

 ソフトウェア製品の脆弱性の届出のうち、製品開発者が修正を完了し、今四半期にJVNで対策情報を公表したものは34件(*4)(累計819件)でした。四半期別修正完了件数は2011年以降30件前後で推移しており、今四半期は34件でした。(P9 図2-12)そのうち、15件が製品開発者自身から届けられた自社製品の脆弱性の届出でした。また、届出を受理してから公表までに46日(*5)以上経過したものは19件(56%)でした。

 ウェブサイトの脆弱性関連情報の届出のうち、IPAがウェブサイト運営者に通知を行い、今四半期に修正を完了したものは189件(累計5,308件)でした。修正を完了した189件のうち、ウェブアプリケーションを修正したものが175件(93%)、当該ページを削除したもの14件(7%)でした。なお、修正を完了した189件のうち32件(17%)は、運営者へ脆弱関連情報を通知してから修正完了までに91日(*6)以上を要した届出です。今四半期は、修正完了までに91日以上を要した届出の割合が、前四半期(204件中48件(24%))より減少しています。

表1-3.修正完了件数
分類今期件数累計件数
ソフトウェア製品34819
ウェブサイト1895,308
合計2236,127

 また、図1-3は、届出開始から2013年12月末までの修正完了件数の年別推移を示しています。過去、1年間で最も修正を完了した件数が多かったのは2009年(1,401件)でした。2013年の修正完了件数は、ソフトウェア製品が127件、ウェブサイトが759件の合計886件でした。2013年はソフトウェア製品の修正完了が、届出開始から最も多く行われた年となりました。

図1-3.

1.3 調整不能案件の取扱い状況

 本制度において届出を受け付けたソフトウェア製品の開発者に対して、一定期間にわたり連絡を試みても連絡が取れない製品開発者を「連絡不能開発者」と位置づけています。製品開発者と連絡をとる糸口を得るために、「連絡不能開発者一覧(*7)」において段階的に製品開発者名と製品情報を公表し、製品開発者からの連絡および関係者からの情報提供を求めています。

(1) 連絡不能開発者一覧の公表状況

 今四半期は新たに「製品開発者名」16件と、「製品情報(対象製品の具体的な名称およびバージョン)」を4件公表しました。これにより今四半期末時点の「連絡不能開発者一覧」の公表件数は、126件となりました。

(2) 連絡不能開発者一覧の公表後の取扱状況

 今四半期は、製品開発者からの応答はありませんでした。また、これまでに応答があった18件のうち、8件が本制度における取扱いを終了しました。

1-4. 脆弱性届出の傾向について

2013年におけるソフトウェア製品の届出の約半数がAndroidアプリの脆弱性

 ~ 開発者はAndroid OSが提供するアクセス制限機能を理解し、セキュアなコーディングを~

 2013年の1年間で、脆弱性として受理(*8)したソフトウェア製品の届出は253件ありました。そのうち、117件はAndroid用のアプリケーション(以降、Androidアプリ)で、ソフトウェア製品における届出の約半数を占めています。初めて届出のあった2011年からの経年で比較すると、昨年までは全体の2割に満たなかったAndroidアプリの脆弱性届出が2013年は急激に増えていることが見て取れます。

 

図1-3. 脆弱性関連情報の届出件数の四半期別推移

 また、届出のあったAndroidアプリの脆弱性の内容は、表1-4の通りです。Androidアプリの届出の累計は169件で「Android特有の脆弱性(*9)」が、全体の約3割を占めています。アプリの開発者は、従来のソフトウェア開発で作りこみ易い脆弱性に加えて、Android特有の脆弱性についても注意が必要です。

表 1-4. 届出のあった主なAndroidアプリの脆弱性の種類
脆弱性の種類 Android特有の脆弱性 届出件数
ファイルのアクセス制限不備54件
機能(コンポーネント)のアクセス制限不備
ログ出力に関する情報漏えい
WebViewクラスの実装不備
ディレクトリ・トラバーサルの脆弱性-115件
アドレスバーの偽装-
SSLサーバ証明書の検証不備-
データの暗号化不備-

 また、IPAへの届出では、Androidアプリの脆弱性の届出が顕著に増加していますが、iOSなどのスマートフォン上で動作する他のアプリにおいても類似の脆弱性が作り込まれる可能性があります。スマートフォンアプリの開発者は、IPAやJSSEC(一般社団法人日本スマートフォンセキュリティ協会)等で発信している資料(*10) (*11)を参考に、脆弱性が作り込みにくいコーディングを心がけてください。

脚注

(*1)情報セキュリティ早期警戒パートナーシップガイドライン
http://www.ipa.go.jp/security/ciadr/partnership_guide.html
https://www.jpcert.or.jp/vh/index.html

(*2)ソフトウェア等の脆弱性関連情報に関する活動報告レポート[2013年第3四半期(7月~9月)]と比較し、図1-1のソフトウェア製品の届出件数について、2011年第4四半期は既存の届出と同様の内容であることが判明したため1件減少、2013年第3四半期は1つの届出に複数の脆弱性関連情報が記載されていたため42件増加しています。

(*3)1就業日あたりの届出件数は、「累計届出件数」/「届出受付開始からの就業日数」にて算出

(*4)表2-3参照

(*5)公表日の目安は、脆弱性関連情報の取扱を開始した日時から起算して45日後としています。

(*6)対処の目安は、脆弱性関連情報の通知を受けてから、3ヶ月以内としています。

(*7)連絡不能開発者一覧:
http://jvn.jp/reply/index.html

(*8)脆弱性届出件数から、脆弱性として認められ、IPAで受理した件数を表す。届出の一部には、脆弱性ではないと判断し不受理とした届出が含まれている。

(*9Android OSが提供するアクセス制限等の機能の理解不足に起因する脆弱性。

(*10)IPAテクニカルウォッチ 『Androidアプリの脆弱性』に関するレポート
http://www.ipa.go.jp/about/technicalwatch/20120613.html

(*11)Androidアプリのセキュア設計・セキュアコーディングガイド
http://www.jssec.org/report/securecoding.html

資料のダウンロード

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター 渡辺/大森
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。

JPCERT/CC 情報流通対策グループ 古田
Tel: 03-3518-4600 Fax: 03-3518-4602
E-mail: 電話番号:03-3518-4600までお問い合わせください。

更新履歴

2014年1月22日 掲載