HOME情報セキュリティ情報セキュリティ対策脆弱性対策ソフトウェア等の脆弱性関連情報に関する届出状況[2014年第1四半期(1月~3月)]

本文を印刷する

情報セキュリティ

ソフトウェア等の脆弱性関連情報に関する届出状況[2014年第1四半期(1月~3月)]

掲載日 2014年4月24日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター

  • 以下は、「ソフトウェア等の脆弱性関連情報に関する活動報告レポート」1章の抜粋です。

1. 2014年第1四半期 ソフトウェア等の脆弱性関連情報に関する届出状況

1-1 脆弱性関連情報の届出状況

 ~ 脆弱性の届出件数の累計が9,517件になりました ~

 「情報セキュリティ早期警戒パートナーシップ(*1)」(以降、本制度)における届出状況について、表1-1は2014年第1四半期の脆弱性関連情報の届出件数および届出受付開始(2004年7月8日)から今四半期までの累計件数を示しています。今期のソフトウェア製品に関する届出件数は44件、ウェブサイト(ウェブアプリケーション)に関する届出は145件、合計189件でした。届出受付開始からの累計件数は9,517件で、内訳はソフトウェア製品に関するもの1,788件、ウェブサイトに関するもの7,729件でウェブサイトに関する届出が全体の81%を占めています。

 図1-1のグラフは過去3年間の届出件数の四半期別推移を示したものです。今四半期のソフトウェア製品、ウェブサイトに関する届出はともに前四半期よりも減少しています。表1-2は過去3年間の四半期別の累計届出件数および1就業日あたりの届出件数の推移です。今四半期の1就業日あたりの届出件数は4.01(*2)件でした。

表1-1.届出件数
分類 今期件数 累計件数
ソフトウェア製品441,788
ウェブサイト1457,729
合計1899,517


図1-1. 脆弱性関連情報の届出件数の四半期別推移
図1-1. 脆弱性関連情報の届出件数の四半期別推移

表1-2.届出件数(過去3年間)
  2011 2012 2013 2014
2Q 3Q 4Q 1Q 2Q 3Q 4Q 1Q 2Q 3Q 4Q 1Q
累計届出件数
[件]
6,652 6,887 7,313 7,582 7,752 7,948 8,168 8,435 8,667 9,026 9,328 9,517
1就業日あたり
[件/日]
3.93 3.93 4.03 4.05 4.00 3.98 3.78 3.96 3.96 4.00 4.03 4.01

1-2 脆弱性の修正完了状況

 ~ ソフトウェア製品およびウェブサイトの修正件数が6,297件となりました ~

 表1-3は今四半期と届出受付開始から今四半期までのソフトウェア製品とウェブサイトの修正完了件数を示しています。

 ソフトウェア製品の脆弱性の届出のうち、製品開発者が修正を完了しJVNで対策情報を公表した四半期別の修正完了件数は、2011年以降30件前後で推移しており今四半期は32件(*3)(累計851件)でした。そのうち、7件が製品開発者自身から届けられた自社製品の脆弱性の届出でした。また、届出を受理してから公表までに46日(*4)以上かかったものは21件(66%)でした。

 ウェブサイトの脆弱性関連情報の届出のうち、IPAがウェブサイト運営者に通知を行い、今四半期に修正を完了したものは138件(累計5,446件)でした。修正を完了した138件のうち、ウェブアプリケーションを修正したもの124件(90%)、当該ページを削除したもの13件(9%)、運用で回避したもの1件(1%)でした。なお、修正を完了した138件のうち60件(43%)は、運営者へ脆弱関連情報を通知してから修正完了までに91日(*5)以上を要した届出です。今四半期は、修正完了までに91日以上を要した届出の割合が、前四半期(189件中32件(17%))より増加しています。

表1-3.修正完了件数
分類今期件数累計件数
ソフトウェア製品32851
ウェブサイト1385,446
合計1706,297

1-3 調整不能案件の取扱い状況

 本制度において届出を受け付けたソフトウェア製品の開発者に対して、一定期間にわたり連絡を試みても連絡が取れない製品開発者を「連絡不能開発者」と位置づけています。その製品開発者への連絡の糸口を得るために、「連絡不能開発者一覧(*6)」を公開しています。「連絡不能開発者一覧」では、「製品開発者名」をまず公表します。その後3ヵ月たっても製品開発者から応答が得られない場合、製品情報(対象製品の具体的な名称およびバージョン)を公表し、製品開発者からの連絡および関係者からの情報提供を求めています。

(1) 連絡不能開発者一覧の公表状況

 今四半期に新たに公表した「製品開発者名」は8件、「製品情報」は16件でした。

(2) 連絡不能開発者一覧の公表後の取扱い状況

 今四半期に、製品開発者から応答があり調整を再開したのは3件(累計21件)、本制度における取扱いを終了したのは0件(累計8件)でした。依然として、131件については、製品開発者と連絡がとれない状況です。

1-4. 脆弱性届出の傾向について

製品開発者自身によるソフトウェア製品の届出が増加傾向

 ~ 脆弱性対策情報を広く周知するため、本制度を活用して届出をする製品開発者が増加 ~

 2013年の1年間で、脆弱性として受理(*7)したソフトウェア製品の届出は245件ありました。そのうち、31件は製品開発者自身による届出で、ソフトウェア製品における届出の約13%を占めています。2014年第1四半期は、受理した届出(*8)42件のうち、約19%の8件が製品開発者からの届出で、ここ数年、一部の製品開発者が自身で届出を行うようになっていることが伺えます。

図1-2. ソフトウェア製品の届出における製品開発者からの届出件数
図1-2. ソフトウェア製品の届出における製品開発者からの届出件数

 製品開発者が自ら届出を行ったソフトウェア製品の脆弱性のうち、2014年第1四半期に公表されたものはグループウェアやショッピングサイト構築システム、表計算ソフトの脆弱性、7件で、表1-4の通りです。表計算ソフトの脆弱性(*9)は、ゼロデイ攻撃に悪用される可能性が高いものでした。

表 1-4. 2014年第1四半期に公表した製品開発者による脆弱性の届出
JVN公表日 JVN番号 脆弱性 CVSS
基本値
2014/2/26JVN#71045461サイボウズ ガルーンにおける SQL インジェクションの脆弱性6.5
2014/2/26JVN#26393529サイボウズ ガルーンにおけるディレクトリトラバーサルの脆弱性3.5
2014/2/26JVN#24035499サイボウズ ガルーンにおけるセッション管理不備の脆弱性4.9
2014/1/28JVN#28011378三四郎シリーズにおいて任意のコードが実行される脆弱性9.3
2014/1/28JVN#91153528サイボウズ ガルーン における複数の SQL インジェクションの脆弱性6.5
2014/1/22JVN#51770585EC-CUBE における情報漏えいの脆弱性5.0
2014/1/22JVN#17849447EC-CUBE における情報改ざんの脆弱性5.0

 これまで本制度を通じて届出された脆弱性情報のほとんどは、セキュリティの研究者等、特定の発見者によるものでした。発見者による自発的な届出は、IPAおよびJPCERT/CCを経由して製品開発者に通知され、製品開発者の速やかな対策実施後、JVNで対策情報が公表される、という一連の運用が行われています。
 脆弱性情報の取扱いにおいて、製品開発者自身で脆弱性を発見した場合、または製品開発者以外の第三者から本制度を経由せず直接、製品開発者に脆弱性が通知された場合は、製品開発者の判断により、製品開発者自身のウェブサイト等で対策情報が公表されることが一般的です。

 前述のとおり、本制度では製品開発者によりソフトウェア製品の脆弱性対策が円滑に行われ、JVNで対策情報が広く一般に周知されることで、ソフトウェア製品利用者の対策が促進される、という利点があります。
 数年来、製品開発者による本制度への届出が増加しているその背景には、脆弱性対策情報を広く一般に周知、対策を推進するには、本制度の活用が有効であることが製品開発者に浸透してきていることが考えられます。

 今後、さらに多くの製品開発者が脆弱性対策情報を広く一般に周知するため、本制度を活用すること、および組織のセキュリティ担当者がJVNを通じて脆弱性対策情報を積極的に収集することを期待します。

脚注

(*1)情報セキュリティ早期警戒パートナーシップガイドライン
http://www.ipa.go.jp/security/ciadr/partnership_guide.html
https://www.jpcert.or.jp/vh/index.html

(*2)1就業日あたりの届出件数は、「累計届出件数」/「届出受付開始からの就業日数」にて算出

(*3)表2-3参照

(*4)公表日の目安は、脆弱性関連情報の取扱いを開始した日時から起算して45日後としています。

(*5)対処の目安は、脆弱性関連情報の通知を受けてから、3ヶ月以内としています。

(*6)連絡不能開発者一覧:
http://jvn.jp/reply/index.html

(*7)脆弱性届出件数から、IPAが脆弱性として認めて受理した件数を示す。届出の一部には、脆弱性ではないと判断し不受理とした届出が含まれている。

(*8)受理した届出件数とは届出された件数(44件)から不受理となった件数(2件)を除いたもの。

(*9)「三四郎」シリーズにおいて任意のコードが実行される脆弱性の対策について(JVN#28011378)
http://www.ipa.go.jp/security/ciadr/vul/20140128-jvn.html

資料のダウンロード

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター 渡辺/板橋
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。

JPCERT/CC 情報流通対策グループ 古田
Tel: 03-3518-4600 Fax: 03-3518-4602
E-mail: 電話番号:03-3518-4600までお問い合わせください。

更新履歴

2014年4月24日 掲載