HOME情報セキュリティ情報セキュリティ対策脆弱性対策ソフトウェア等の脆弱性関連情報に関する届出状況[2014年第4四半期(10月~12月)]

本文を印刷する

情報セキュリティ

ソフトウェア等の脆弱性関連情報に関する届出状況[2014年第4四半期(10月~12月)]

掲載日 2015年1月28日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター

  • 以下は、「ソフトウェア等の脆弱性関連情報に関する活動報告レポート」1章の抜粋です。

1. 2014年第4四半期 ソフトウェア等の脆弱性関連情報に関する届出受付状況

1-1. 脆弱性関連情報の届出受付状況

 ~脆弱性の届出件数の累計が10,655件になりました~

 表1-1は本制度(*1)における届出状況について、2014年第4四半期の脆弱性関連情報(以降「脆弱性」)の届出件数および届出受付開始(2004年7月8日)から今四半期までの累計を示しています。今期のソフトウェア製品に関する届出件数は86件、ウェブサイト(ウェブアプリケーション)に関する届出は392件、合計478件でした。届出受付開始からの累計は10,655件で、内訳はソフトウェア製品に関するもの1,952件、ウェブサイトに関するもの8,703件でウェブサイトに関する届出が全体の82%を占めています。

 図1-1のグラフは過去3年間の届出件数の四半期ごとの推移を示したものです。今四半期は、ソフトウェア製品に関する届出が前四半期の約2倍、ウェブサイトに関する届出が過去3年間で最多となりました。表1-2は過去3年間の四半期ごとの届出の累計および1就業日あたりの届出件数の推移です。今四半期の1就業日あたりの届出件数は4.17(*2)件でした。

表1-1.届出件数
分類 今期件数 累計件数
ソフトウェア製品 86 1,952
ウェブサイト 392 8,703
合計 478 10,655

 


図1-1. 脆弱性関連情報の届出件数の四半期ごとの推移

 

表1-2. 届出件数(過去3年間)
  2011 2012 2013 2014
1Q 2Q 3Q 4Q 1Q 2Q 3Q 4Q 1Q 2Q 3Q 4Q
累計届出件数
[件]
7,582 7,752 7,948 8,168 8,435 8,667 9,026 9,327 9,517 9,845 10,177 10,655
1就業日あたり
[件/日]
4.05 4.00 3.98 3.78 3.96 3.96 4.00 4.03 4.01 4.04 4.07 4.17

 また、図1-2は、届出受付開始から2014年12月末までの届出件数の年ごとの推移です。過去、最も届出が多かったのは、2008年(2,625件)です。2014年はソフトウェア製品が210件、ウェブサイトが1,118件の合計1,328件でした。2010年以降、届出件数は年々増加しており、2014年は届出件数が届出受付開始以来3番目に多い年となりました。


図1-2. 脆弱性関連情報の届出件数の年ごとの推移

 

1-2. 脆弱性の修正完了状況

 ~ソフトウェア製品およびウェブサイトの修正件数が6,900件になりました~

 表1-3は今四半期と届出受付開始から今四半期までのソフトウェア製品とウェブサイトの修正完了件数を示しています。

 ソフトウェア製品の脆弱性の届出のうち、今四半期に脆弱性対策情報をJVNで公表した件数(回避策等の公表も修正完了とみなす)は34件(*3)(累計959件)でした。そのうち、4件が製品開発者による自社製品の脆弱性の届出でした。また、届出を受理してからJVN公表までの日数が45日(*4)以内だったのは7件(21%)でした。

 ウェブサイトの脆弱性の届出のうち、IPAがウェブサイト運営者に通知を行い、今四半期に修正を完了したものは163件(累計5,941件)でした。修正を完了した163件のうち、ウェブアプリケーションを修正したものは114件(70%)、当該ページを削除したものは49件(30%)、運用で回避したものは0件でした。なお、修正を完了した163件のうちウェブサイト運営者へ脆弱関連情報を通知してから90日(*5)以内に修正が完了したのは110件(67%)でした。今四半期は、90日以内に修正完了した割合が、前四半期(183件中142件(78%))より減少しています。

表1-3. 修正完了件数
分類今期件数累計件数
ソフトウェア製品 34 959
ウェブサイト 163 5,941
合計 197 6,900

 また、図1-3は、届出開始から2014年12月末までの修正完了件数の年ごとの推移を示しています。過去、修正を完了した件数が最も多かったのは2009年の1,401件でした。2014年は、ソフトウェア製品が140件、ウェブサイトが633件の合計773件でした。2014年はソフトウェア製品の修正が、最も多く完了した年となりました。これは、本制度が開始してから10年が経過し、「製品開発者の脆弱性に対する理解が浸透してきた」ためと考えられます。


図1-3. 脆弱性関連情報の修正完了件数の年ごとの推移

 

1-3. 連絡不能案件の取扱い状況

 本制度では、連絡が取れない製品開発者を「連絡不能開発者」と呼び、連絡の糸口を得るため、まず最初に当該製品開発者名等を公表しています(*6)。製品開発者名を公表後、3ヵ月経過しても製品開発者から応答が得られない場合は、その後製品情報(対象製品の具体的な名称およびバージョン)を公表します。それでも応答が得られない場合は、情報提供の期限を追記します。情報提供の期限までに製品開発者から応答がない場合は、当該脆弱性情報の公表に向け、「情報セキュリティ早期警戒パートナーシップガイドライン」に定められた公開条件を満たしているかを公表判定委員会(*7)で審議します。公表が適当と判定された脆弱性情報はJVNに公表されます。

 今四半期に新たに製品開発者名を公表したものは12件、製品開発者名に加え製品情報を追加公表したものは8件、2014年12月末時点の連絡不能開発者の累計公表件数は163件となりました。また、2014年11月に第1回目の公表判定委員会を開催し、4件の脆弱性情報について審議しました。

1-4. 脆弱性の傾向について

ウェブサイトに潜むディレクトリ・トラバーサルの脆弱性の見つけ方に注意

 ~安全な手順、手法による脆弱性の発見を~

 2014年第4四半期には、ウェブサイト及びソフトウェア製品の届出は合計478件ありました。そのうちの約30%を占めるのは、「ディレクトリ・トラバーサル」に関する脆弱性でした(図1-4)。


図1-4. 届出に対するディレクトリ・トラバーサルの届出の割合

「ディレクトリ・トラバーサル」の脆弱性とは

 この脆弱性がウェブサイトに存在すると、悪意のある第三者に非公開のファイルにアクセスされてしまうなどのセキュリティ上の問題が生じます。詳細は次のとおりです(図1-5)。


図1-5. 「ディレクトリ・トラバーサル」の脆弱性の概要

 ウェブサイトにおける「ディレクトリ・トラバーサル」の脆弱性が作りこまれる原因は、ファイル名のチェックの不備にあります(*8)

 今期に比較的多く「ディレクトリ・トラバーサル」の脆弱性が届出されたのは、この脆弱性を意図せず作りこんでしまい、その脆弱性が未対策なままのウェブサイトが多く存在していたためと推測されます。前述のようなセキュリティ上の問題を引き起こさないよう、ウェブサイト運営者および、ウェブサイトの構築担当者はIPAが発行している「安全なウェブサイトの作り方」を参考にするなど適切な対策を行う必要があります。

 なお、「ディレクトリ・トラバーサル」の脆弱性を見つける場合は、安全な手順で行う必要があります。ウェブサイトに「ディレクトリ・トラバーサル」の脆弱性がある場合は、誤ってウェブサーバ上に存在する個人情報やウェブサーバの設定情報などといったインターネット上で非公開のファイルにアクセスしてしまう可能性があります。「ディレクトリ・トラバーサル」の脆弱性により、本来ファイルを閲覧する権限のない発見者がインターネット上で非公開なファイルを閲覧してしまうと、不正な行為であるとウェブサイト運営者にみなされる可能性があります。また場合によっては発見者とウェブサイト運営者との間でトラブルが生じる可能性があります。脆弱性の見つけ方は、次に示す安全な調査手順(図1-6)で実施してください。なお、図1-6中の「vuln.php」は「ディレクトリ・トラバーサル」の脆弱性をもつ問題あるプログラムです。


図1-6. 安全な「ディレクトリ・トラバーサル」の脆弱生の調査手順

 図1-6の手順(3)ではサーバ上で公開していることをあらかじめ確認したファイル「public.jpg」をダウンロードしています。これは「ディレクトリ・トラバーサル」の安全な見つけ方です。しかし、図1-5にあるようにインターネット上で非公開とされているファイル名「../../secret/key.txt」を指定すると、「key.txt」がダウンロードできてしまうことがあります。非公開ファイルの不用意な閲覧は問題行為と解釈される可能性があり、図1-5に記載されている方法は行うべきではありません。

 「SQLインジェクション」(*9)などウェブサイトにおける他の脆弱性にもいえることですが、脆弱性は安全な方法で見つけてください。脆弱性を見つける前には、「情報セキュリティ早期警戒パートナーシップガイドライン」(*10)の「発見者が心得ておくべき法的な論点」を参考にして、その見つけ方が安全であるか、今一度確認してください。なお、「ディレクトリ・トラバーサル」の脆弱性を届ける場合は、前述の手順(1)~(3)を脆弱性の証拠として提出してください。

 

脚注

(*1) 情報セキュリティ早期警戒パートナーシップガイドライン
http://www.ipa.go.jp/security/ciadr/partnership_guide.html
https://www.jpcert.or.jp/vh/index.html

(*2) 1就業日あたりの届出件数は、「累計届出件数」/「届出受付開始からの就業日数」にて算出

(*3) P.12 表2-3参照

(*4) JVN公表日の目安は、脆弱性の取扱いを開始した日時から起算して45日後としています。

(*5) 対処の目安は、ウェブサイト運営者が脆弱性の通知を受けてから、3ヶ月以内としています。

(*6) 連絡不能開発者一覧:
http://jvn.jp/reply/index.html

(*7) 連絡不能案件の脆弱性情報を公表するか否かを判定するためにIPAが組織する。
法律、情報セキュリティ、当該ソフトウェア製品分野の専門的な知識経験を有する専門家、かつ、当該案件と利害関係のない者で構成される。

(*8) 「http://www.example.jp/IPA2/vuln.php?filename=sample.pdf」のように、パラメータ「filename」に「sample.pdf」とファイル名を直接指定している場合や、ファイル名に「../」やディレクトリ名を指定している実装において、ファイル名のチェックが不十分であること。

(*9) 「SQLインジェクション」の脆弱性の届出において、認証回避やサーバ上のファイル削除・改ざんなどの行為をしたと認められる内容の届出は受け付けていません。

(*10) 情報セキュリティ早期警戒パートナーシップガイドライン
http://www.ipa.go.jp/security/ciadr/partnership_guide.html

資料のダウンロード

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター 渡辺/板橋
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。

JPCERT/CC 情報流通対策グループ 古田
Tel: 03-3518-4600 Fax: 03-3518-4602
E-mail: 電話番号:03-3518-4600までお問い合わせください。

更新履歴

2015年1月28日 掲載
2015年2月6日 図 1-6 の修正