HOME情報セキュリティ情報セキュリティ対策脆弱性対策ソフトウェア等の脆弱性関連情報に関する届出状況[2014年第3四半期(7月~9月)]

本文を印刷する

情報セキュリティ

ソフトウェア等の脆弱性関連情報に関する届出状況[2014年第3四半期(7月~9月)]

掲載日 2014年10月23日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター

  • 以下は、「ソフトウェア等の脆弱性関連情報に関する活動報告レポート」1章の抜粋です。

1. 2014年第3四半期 ソフトウェア等の脆弱性関連情報に関する届出受付状況

1-1. 脆弱性関連情報の届出受付状況

 ~脆弱性の届出件数の累計が10,084件になりました~

 表1-1は本制度(*1)における届出状況について、表1-1は2014年第3四半期の脆弱性関連情報(以降「脆弱性」)の届出件数および届出受付開始(2004年7月8日)から今四半期までの累計を示しています。今期のソフトウェア製品に関する届出件数は39件、ウェブサイト(ウェブアプリケーション)に関する届出は200件、合計239件でした。届出受付開始からの累計は10,084件で、内訳はソフトウェア製品に関するもの1,866件、ウェブサイトに関するもの8,218件でウェブサイトに関する届出が全体の84%を占めています。

 図1-1のグラフは過去3年間の届出件数の四半期別推移を示したものです。ソフトウェア製品に関する届出は2013年第3、第4四半期を除き、40件前後で推移しています。今四半期のウェブサイトに関する届出は前四半期の約7割でした。表1-2は過去3年間の四半期別の届出の累計および1就業日あたりの届出件数の推移です。今四半期の1就業日あたりの届出件数は4.04(*2)件でした。

表1-1.届出件数
分類 今期件数 累計
ソフトウェア製品 39 1,866
ウェブサイト 200 8,218
合計 239 10,084


図1-1. 脆弱性関連情報の届出件数の四半期別推移

図1-1. 脆弱性関連情報の届出件数の四半期別推移

表1-2. 届出件数(過去3年間)
  2011 2012 2013 2014
4Q 1Q 2Q 3Q 4Q 1Q 2Q 3Q 4Q 1Q 2Q 3Q
累計届出件数
[件]
7,313 7,582 7,752 7,948 8,168 8,435 8,667 9,026 9,327 9,517 9,845 10,084
1就業日あたり
[件/日]
4.03 4.05 4.00 3.98 3.78 3.96 3.96 4.00 4.03 4.01 4.04 4.04

 

1-2. 脆弱性の修正完了状況

 ~ソフトウェア製品およびウェブサイトの修正件数が6,703件になりました~

 表1-3は今四半期と届出受付開始から今四半期までのソフトウェア製品とウェブサイトの修正完了件数を示しています。

 ソフトウェア製品の脆弱性の届出のうち、今四半期に脆弱性対策情報をJVNで公表したうち、修正が完了した件数は、過去最多の45件(*3)(累計925件)でした。そのうち、8件が製品開発者による自社製品の脆弱性の届出でした。また、届出を受理してからJVN公表までの日数が45日(*4)以内だったのは6件(13%)でした。

 ウェブサイトの脆弱性の届出のうち、IPAがウェブサイト運営者に通知を行い、今四半期に修正を完了したものは183件(累計5,778件)でした。修正を完了した183件のうち、ウェブアプリケーションを修正したものは170件(93%)、当該ページを削除したものは13件(7%)、運用で回避したものは0件でした。なお、修正を完了した183件のうち運営者へ脆弱関連情報を通知してから90日(*5)以内に修正が完了したのは142件(78%)でした。今四半期は、90日以内に修正完了した割合が、前四半期(149件中95件(64%))より増加しています。

表1-3. 修正完了件数
分類今期件数累計
ソフトウェア製品 45 925
ウェブサイト 183 5,778
合計 228 6,703

 

1-3. 連絡不能案件の取扱い状況

 本制度では、一定期間にわたり連絡を試みても連絡が取れない製品開発者を「連絡不能開発者」と位置づけています。その「連絡不能開発者」への連絡の糸口を得るために、「連絡不能開発者一覧(*6)」を公表しています。「連絡不能開発者一覧」では、まず「製品開発者名」を公表します。その後3ヵ月経過しても製品開発者から応答が得られない場合、製品情報(対象製品の具体的な名称およびバージョン)を公表し、製品開発者からの連絡および関係者からの情報提供を求めます。それでも情報が得られない場合、後述の情報公開に向けて情報提供の期限を追記します。

 その結果、期限までに製品開発者と連絡がとれない場合は、利用者への被害低減のため脆弱性情報と対策検討の機会を提供することを目的に公表判定委員会(*7)において当該脆弱性情報の公表について審議します。公表が妥当と判定されると当該脆弱性情報をJVNに公表します。

 今四半期に「連絡不能開発者」と位置づけて新たに製品開発者名を公表したものは8件、製品開発者名に加え製品情報を追加公表したものは12件、2014年9月末時点の「連絡不能開発者一覧」への累計公表件数は151件となりました。このうち、5件について情報提供の期限を追記しました。

1-4. 脆弱性の傾向について

1-4-1. SSLサーバ証明書の検証不備の脆弱性の調整及び公表

 ~SSLサーバ証明書の検証不備の脆弱性が初めてJVN公表されたのは2008年~

 2014年第3四半期は、SSLサーバ証明書の検証(*8)不備の脆弱性について、JVNで脆弱性対策情報を5件公表しました。

 また、今四半期は、CERT/CCからSSLサーバ証明書を適切に検証していない複数のAndroidアプリについての報告(*9)もあり、世界中から注目を集めました。しかし、この問題は、Androidアプリ特有のものではありません。実際、届出受付開始から今四半期までにJVNで公表されたAndroid OS以外のクライアントアプリケーションに存在した同種の脆弱性は6件で、Android OSを含めると18件が公表されています(表1-4)。

 またJVNで最初に公表されたのは2008年であったことから、この脆弱性は決して新しいものではないといえます。

表 1-4. JVN公表一覧
表 1-4. 2014年第2四半期に公表したオープンソースソフトウェアの脆弱性

 製品開発者においては、HTTPS通信を行う全てのクライアントアプリケーションに対して、「SSLサーバ証明書の検証不備の脆弱性」の有無について調査を行い、脆弱性があれば速やかに修正の上、脆弱性対策情報を公表する必要があります。

 

1-4-2. 情報家電をはじめとした組込み機器共通の脅威

 ~組込まれたOSやソフトウェアに注意~

 2014年度第3四半期のソフトウェア製品の届出のうち、インターネットに接続する、家庭用ルータ・IPカメラおよび、プリンタといった情報家電の届出が10件ありました。

 情報家電には、低い開発コストでさまざまな機能を実現するためLinuxなどの汎用OSやソフトウェアが組込まれています。そのため情報家電にもOSやソフトウェアに脆弱性が作りこまれてしまう可能性があります。例えば昨今の家庭用ルータには、PCやスマートフォンのウェブブラウザ上から詳細な設定をするためのウェブアプリケーションというソフトウェアが組込まれています。そのため、組込まれているウェブアプリケーションに脆弱性があると、その影響を受ける可能性があります。実際、前述の10件の届出のほとんどは、情報家電に組込まれているウェブアプリケーションに脆弱性がありました。なお、表1-5は、届出のあった情報家電の脆弱性の種類とその脅威例をまとめたものです。開発者は設計段階で、機器に組込むOSやソフトウェアに脆弱性が存在していないことの確認、開発段階では、機器に組込まれたOSやソフトウェアに脆弱性が存在しないかのテスト等を行い、脆弱性を作りこまないように注意する必要があります。

表 1-5.情報家電の脆弱性一覧
表 1-4. 2014年第2四半期に公表したオープンソースソフトウェアの脆弱性

 9月25日(米国時間)に、CERT/CCよりLinuxなどUNIX系のOSに存在するbashというソフトウェアに関する脆弱性が報告されました(*10)。情報家電に組込まれている汎用OSはLinux系が一般的であることから、情報家電への影響の可能性が示唆されました。具体的な脅威には、情報漏えいや動作停止、ウイルス等悪意のあるプログラムのダウンロード、などが挙げられます。このように、OSやソフトウェアの脆弱性は、それを組込んだ機器にも影響がおよびます。今後インターネット接続が一般的となる情報家電はPCと同様に、前述の脅威がより現実のものとなることを考慮して、製品開発者は、開発、保守を行う必要があります。

 また、情報家電に脆弱性が見つかった場合は、PC等における他のソフトウェア製品と同様に、多くの場合利用者自身が製品開発者の提供するファームウェアやパッチを適用しなければなりません。情報家電の利用者は、製品開発者が提供するサポートサイトで脆弱性対策情報を確認するほか、JVNなどでも情報を収集し、迅速かつ適切な対応が求められます。 

 

脚注

(*1) 情報セキュリティ早期警戒パートナーシップガイドライン
http://www.ipa.go.jp/security/ciadr/partnership_guide.html
https://www.jpcert.or.jp/vh/index.html

(*2) 1就業日あたりの届出件数は、「累計届出件数」/「届出受付開始からの就業日数」にて算出

(*3) P.10 表2-3参照

(*4) JVN公表日の目安は、脆弱性の取扱いを開始した日時から起算して45日後としています。

(*5) 対処の目安は、ウェブサイト運営者が脆弱性の通知を受けてから、3ヶ月以内としています。

(*6) 連絡不能開発者一覧:
http://jvn.jp/reply/index.html

(*7) 連絡不能案件の脆弱性情報を公表するか否かを判定するためにIPAが組織する。
法律、情報セキュリティ、当該ソフトウェア製品分野の専門的な知識経験を有する専門家、かつ、当該案件と利害関係のない者で構成される。

(*8) 個人情報など重要な情報を暗号化して送信する際に使用する通信において、通信先が信頼できるか確認し、通信の内容を傍受されないようにする仕組み。

(*9) http://www.kb.cert.org/vuls/id/582497

(*10) https://www.us-cert.gov/ncas/alerts/TA14-268A

資料のダウンロード

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター 渡辺/板橋
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。

JPCERT/CC 情報流通対策グループ 古田
Tel: 03-3518-4600 Fax: 03-3518-4602
E-mail: 電話番号:03-3518-4600までお問い合わせください。

更新履歴

2014年10月23日 掲載