HOME情報セキュリティ情報セキュリティ対策脆弱性対策ソフトウェア等の脆弱性関連情報に関する届出状況[2014年第2四半期(4月~6月)]

本文を印刷する

情報セキュリティ

ソフトウェア等の脆弱性関連情報に関する届出状況[2014年第2四半期(4月~6月)]

掲載日 2014年7月24日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター

  • 以下は、「ソフトウェア等の脆弱性関連情報に関する活動報告レポート」1章の抜粋です。

1. 2014年第2四半期 ソフトウェア等の脆弱性関連情報に関する届出受付状況

1-1. 脆弱性関連情報の届出受付状況

 ~ 脆弱性の届出件数の累計が9,847件になりました ~

 「情報セキュリティ早期警戒パートナーシップ(*1)」(以降、本制度)における届出状況について、表1-1は2014年第2四半期の脆弱性関連情報の届出件数および届出受付開始(2004年7月8日)から今四半期までの累計を示しています。今期のソフトウェア製品に関する届出件数は40件、ウェブサイト(ウェブアプリケーション)に関する届出は289件、合計329件でした。届出受付開始からの累計は9,847件で、内訳はソフトウェア製品に関するもの1,828件、ウェブサイトに関するもの8,019件でウェブサイトに関する届出が全体の81%を占めています。

 図1-1のグラフは過去3年間の届出件数の四半期別推移を示したものです。今四半期は前四半期と比較して、ソフトウェア製品に関する届出が減少し、ウェブサイトに関する届出が2倍に増加しています。表1-2は過去3年間の四半期別の届出の累計および1就業日あたりの届出件数の推移です。今四半期の1就業日あたりの届出件数は4.04(*2)件でした。

表1-1.届出件数
分類 今期件数 累計
ソフトウェア製品 40 1,828
ウェブサイト 289 8,019
合計 329 9,847


図1-1. 脆弱性関連情報の届出件数の四半期別推移
図1-1. 脆弱性関連情報の届出件数の四半期別推移

表1-2. 届出件数(過去3年間)
  2011 2012 2013 2014
3Q 4Q 1Q 2Q 3Q 4Q 1Q 2Q 3Q 4Q 1Q 2Q
累計届出件数
[件]
6,887 7,313 7,582 7,752 7,948 8,168 8,435 8,667 9,026 9,328 9,518 9,847
1就業日あたり
[件/日]
3.93 4.03 4.05 4.00 3.98 3.78 3.96 3.96 4.00 4.03 4.01 4.04

 

1-2. 脆弱性の修正完了状況

 ~ ソフトウェア製品およびウェブサイトの修正件数が6,475件となりました ~

 表1-3は今四半期と届出受付開始から今四半期までのソフトウェア製品とウェブサイトの修正完了件数を示しています。

 ソフトウェア製品の脆弱性の届出のうち、製品開発者が修正を完了しJVNで対策情報を公表した四半期別の修正完了件数は、2011年以降30件前後で推移しており今四半期は29件(*3)(累計880件)でした。そのうち、9件が製品開発者自身による自社製品の脆弱性の届出でした。また、届出を受理してから公表までの日数が45日(*4)以内だったのは13件(45%)でした。

 ウェブサイトの脆弱性の届出のうち、IPAがウェブサイト運営者に通知を行い、今四半期に修正を完了したものは149件(累計5,595件)でした。修正を完了した149件のうち、ウェブアプリケーションを修正したもの125件(84%)、当該ページを削除したもの24件(16%)、運用で回避したもの0件でした。なお、修正を完了した149件のうち95件(64%)は、運営者へ脆弱関連情報を通知してから修正完了までの日数が90日(*5)以内の届出でした。今四半期は、90日以内に修正完了した割合が、前四半期(138件中78件(58%))より増加しています。

表1-3. 修正完了件数
分類今期件数累計
ソフトウェア製品 29 880
ウェブサイト 149 5,595
合計 178 6,475

 

1-3. 連絡不能案件の取扱い状況

 本制度において届出を受け付けたソフトウェア製品の開発者に対して、一定期間にわたり連絡を試みても連絡が取れない製品開発者を「連絡不能開発者」と位置づけています。「連絡不能開発者」への連絡の糸口を得るために、「連絡不能開発者一覧(*6)」を公表しています。「連絡不能開発者一覧」では、まず「製品開発者名」を公表します。その後3ヵ月経過しても製品開発者から応答が得られない場合、製品情報(対象製品の具体的な名称およびバージョン)を公表し、製品開発者からの連絡および関係者からの情報提供を求めています。

 今四半期に「連絡不能開発者」と位置づけて新たに製品開発者名を公表したものは13件、製品開発者名に加え製品情報を追加公表したものは7件、2014年6月末時点の「連絡不能開発者一覧」への公表件数は144件となりました。

1-4. 脆弱性の傾向について

1-4-1. オープンソースソフトウェアの脆弱性の調整および公表

 ~ 注目されたApache Struts、OpenSSLの脆弱性をJVNで公表 ~

 表1-4は、2014年第2四半期にJVNで脆弱性対策情報を公表した29件のうち、オープンソースソフトウェア(OSS)製品である11件の脆弱性を示しています。2014年第2四半期は世界的に大きく注目された「Apache Struts」および「OpenSSL」などの深刻な脆弱性についても、本制度に基づき、製品開発者などと調整の上、JVNで公表しました。「Apache Struts」の脆弱性(JVN#19294237、CVE-2014-0112)は、CVE-2014-0094の対策が不十分であったため問題が残存していました。攻撃に悪用された場合、ウェブサイトが改ざんされる可能性がありました。また、「OpenSSL」の脆弱性(JVN#61247051、CVE-2014-0224)は、中間者攻撃によって盗聴や改ざんに悪用できるため、暗号化を実現するソフトウェアの利用意義を揺るがす致命的な脆弱性でした。この様に、悪用された場合の影響が大きく、利用者の多いソフトウェア製品の脆弱性においても、発見者が本制度を活用することによって、より多くの製品開発者に脆弱性関連情報を適切に通知することができます。本制度は、利用者の円滑な脆弱性対策を促すことにも有効といえます。

表 1-4. 2014年第2四半期に公表したオープンソースソフトウェアの脆弱性
表 1-4. 2014年第2四半期に公表したオープンソースソフトウェアの脆弱性

 図1-2は、過去2年間を四半期別にJVNで脆弱性対策情報を公表したソフトウェア製品の届出について、ライセンス別(オープンソースソフトウェア以外/オープンソースソフトウェア)の公表件数を示しています。過去2年間に公表した累計241件のうち、66件(27%)が「オープンソースソフトウェア」でした。今四半期の「オープンソースソフトウェア」公表件数の割合は、過去2年間で、比較的多く、38%(公表件数29件のうち11件)でした。

図1-2. オープンソースとオープンソース以外の脆弱性公表件数
図1-2. オープンソースとオープンソース以外の脆弱性公表件数

 OSS製品で脆弱性を発見した場合は、次の点を考慮し、対策に向けた手続きを行う必要があります。

  • OSS製品は、世界各地に在住する製品開発者が協力して開発しているため、多くの場合は 国外のOSS製品開発者のコミュニティに英語等で報告する必要がある
  • OSSの脆弱性はOSSを利用(内包)しているソフトウェア製品にも影響を及ぼすため、 OSS製品開発者だけではなく、影響を受ける複数の製品開発者に報告することが望まれる

 発見者がこれらに対応するのは大きな負担が掛かるという問題がありますが、本制度はその負担を軽減する解決策の一つです。本制度では、製品開発者との調整機関であるJPCERT/CCを経由して製品開発者へ脆弱性情報を通知するため、脆弱性の発見者は、製品開発者と直接連絡をとる必要がありません。さらに、届出された脆弱性が複数のソフトウェア製品に影響を及ぼすと考えられる場合、JPCERT/CCが管理するリストに登録された製品開発者へ、脆弱性情報を展開しています。

 そのため、脆弱性の発見者が本制度を利用した場合、負担を減らせるだけでなく、OSSを利用(内包)しているソフトウェアを開発する製品開発者等が、脆弱性の存在が公表される前にJPCERT/CCから脆弱性情報を受け取り、事前にOSSを利用(内包)した製品等への影響範囲の確認や修正ができる場合があります。脆弱性の修正後は、JVNで公表し、製品利用者へ早期に脆弱性対策情報を伝え、アップデートの適用を促すことができます。

 今後も、発見者と製品開発者との調整に本制度が活用され、ソフトウェア製品の脆弱性対策が促進されることを期待します。

1-4-2. 古いコンテンツ管理システムを利用するウェブサイトの改ざんの危険性

 ~ 狙われている脆弱性に対応できていないウェブサイトの危険性 ~

 図1-3は、2013年第1四半期から今四半期までに届出されたウェブサイトの届出のうち、古いバージョンのコンテンツ管理システム(以降、CMS)に起因する脆弱性の届出件数を示しています。本制度に届出されたウェブサイトの脆弱性8,019件のうち、不受理を除いた7,842件を調査したところ、241件が古いバージョンの「Movable Type」や「WordPress」などのCMSの利用に起因する脆弱性でした。2013年第3四半期以降、古いバージョンのCMSに起因する脆弱性が継続して届出されたため、IPA で古いバージョンのCMSを利用しているウェブサイトを調査しました。その結果、古いバージョンの「Movable Type」の利用に起因する脆弱性があるウェブサイト71件を発見し、本制度に届出を行ったため、今四半期の届出件数は85件と増加しました。

図1-3. 古いバージョンのCMSの脆弱性を持つウェブサイトの届出件数
図1-3. 古いバージョンのCMSの脆弱性を持つウェブサイトの届出件数

 この様な届出状況の一方で、JPCERT/CCにおいては、「Movable Type」などの古いバージョンのCMSを使用しているウェブサイトが改ざんされるインシデントの報告を多数受領しており(*7)、ウェブサイトに不正なファイルが設置されるなどの改ざん事例が昨年より増加しているという現状があります。ウェブサイトの改ざん事例の全てが、脆弱性に起因するものであるとは断定できませんが、脆弱性を内在した状態でウェブサイトの運用を行っている場合、攻撃者によって脆弱性を突かれ、ウェブサイトが改ざんされるなどの被害を受ける可能性が高いことは明白です。

 また、IPAから、古いバージョンのCMSを使用しているウェブサイト管理者に連絡した結果、「自組織のウェブサイトに CMS が使われているという認識がない」、「脆弱性がある古いバージョンの CMS を使用する危険性を認識していない」または「委託先との契約終了などの理由でウェブサイトの管理者が不在である」という状況が浮き彫りになりました。

 これらの状況から、ウェブサイトの運営者においては、CMSに関わらず、ウェブサイトで利用しているソフトウェア製品を把握し、最新の状態を保つことで、脆弱性を悪用されるなどのリスクの低減に努める必要があります。また、ウェブサイトの管理者が不在等で適切な管理ができない場合は、現在契約しているウェブサイトホスティング業者や技術支援してくれるシステム構築業者にウェブサイトの適切な管理について、相談することを勧めます。ウェブサイトを適切に管理できない場合などは、ウェブサイト運営者だけでなくインターネット利用者全てに被害が及ぶため、ウェブサイト閉鎖などの検討が必要です。

 

1-5. 経済産業省告示の改正および、「情報セキュリティ早期警戒パートナーシップガイドラインの改訂

 5月14日に、経済産業省の告示が改正されました。また、「情報システム等の脆弱性情報の取扱いに関する研究会」での検討結果を踏まえ、「情報セキュリティ早期警戒パートナーシップガイドライン」を改訂し、5月30日に公開しました(*8)

脚注

(*1) 情報セキュリティ早期警戒パートナーシップガイドライン
http://www.ipa.go.jp/security/ciadr/partnership_guide.html
https://www.jpcert.or.jp/vh/index.html

(*2) 1就業日あたりの届出件数は、「累計届出件数」/「届出受付開始からの就業日数」にて算出

(*3)表2-3参照

(*4)公表日の目安は、脆弱性関連情報の取扱いを開始した日時から起算して45日後としています。

(*5)対処の目安は、脆弱性関連情報の通知を受けてから、3ヶ月以内としています。

(*6)連絡不能開発者一覧:
http://jvn.jp/reply/index.html

(*7)旧バージョンの Movable Type の利用に関する注意喚起:
https://www.jpcert.or.jp/at/2014/at140024.html

(*8)「情報セキュリティ早期警戒パートナーシップガイドライン」の2014年版を公開:
http://www.ipa.go.jp/security/ciadr/partnership_guide.html

資料のダウンロード

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター 渡辺/板橋
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。

JPCERT/CC 情報流通対策グループ 古田
Tel: 03-3518-4600 Fax: 03-3518-4602
E-mail: 電話番号:03-3518-4600までお問い合わせください。

更新履歴

2014年7月24日 掲載