HOME情報セキュリティ情報セキュリティ対策脆弱性対策ソフトウェア等の脆弱性関連情報に関する届出状況[2015年第1四半期(1月~3月)]

本文を印刷する

情報セキュリティ

ソフトウェア等の脆弱性関連情報に関する届出状況[2015年第1四半期(1月~3月)]

掲載日 2015年4月23日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター

  • 以下は、「ソフトウェア等の脆弱性関連情報の取扱いに関する活動報告レポート」1章の抜粋です。

1. 2015年第1四半期 ソフトウェア等の脆弱性関連情報に関する届出受付状況

1-1. 脆弱性関連情報の届出受付状況

 ~脆弱性の届出件数の累計は10,898件~

 表1-1は本制度(*1)における届出状況について、2015年第1四半期の脆弱性関連情報(以降「脆弱性」)の届出件数および届出受付開始(2004年7月8日)から今四半期までの累計を示しています。今期のソフトウェア製品に関する届出件数は84件、ウェブサイト(ウェブアプリケーション)に関する届出は161件、合計245件でした。届出受付開始からの累計は10,898件で、内訳はソフトウェア製品に関するもの2,034件、ウェブサイトに関するもの8,864件でウェブサイトに関する届出が全体の81%を占めています。

 図1-1のグラフは過去3年間の届出件数の四半期ごとの推移を示したものです。今四半期は、ソフトウェア製品に関する届出が前四半期とほぼ同じ件数、ウェブサイトに関する届出が前四半期の約4割に減少しました。表1-2は過去3年間の四半期ごとの届出の累計および1就業日あたりの届出件数の推移です。今四半期の1就業日あたりの届出件数は4.17(*2)件でした。

表1-1.届出件数
分類 今期件数 累計件数
ソフトウェア製品 84 2,034
ウェブサイト 161 8,864
合計 245 10,898

図1-1. 脆弱性関連情報の届出件数の四半期別推移

表1-2.届出件数(過去3年間)
  2012 2013 2014 2015
2Q 3Q 4Q 1Q 2Q 3Q 4Q 1Q 2Q 3Q 4Q 1Q
累計届出件数
[件]
7,752 7,948 8,168 8,435 8,667 9,026 9,326 9,516 9,844 10,176 10,653 10,898
1就業日あたり
[件/日]
4.00 3.98 3.78 3.96 3.96 4.00 4.03 4.01 4.04 4.07 4.17 4.17

1-2. 脆弱性の修正完了状況

 ~ソフトウェア製品およびウェブサイトの修正件数は累計7,194件~

 表1-3は今四半期と届出受付開始から今四半期までのソフトウェア製品とウェブサイトの修正完了件数を示しています。ソフトウェア製品の場合、修正が完了するとJVNに公表しています(回避策の公表のみでプログラムの修正をしていない場合を含む)。

 今四半期にJVN公表したソフトウェア製品の件数は41件(*3)(累計1,000件)でした。そのうち、4件が製品開発者による自社製品の脆弱性の届出でした。また、届出を受理してからJVN公表までの日数が45日(*4)以内だったのは9件(22%)でした。

 また、修正完了したウェブサイトの件数は253件(累計6,194件)でした。これらは届出を受け、IPAがウェブサイト運営者に通知を行い、今四半期に修正を完了したものです。修正を完了した253件のうち、ウェブアプリケーションを修正したものは183件(72%)、当該ページを削除したものは70件(28%)、運用で回避したものは0件でした。なお、修正を完了した253件のうちウェブサイト運営者へ脆弱関連情報を通知してから90日(*5)以内に修正が完了したのは202件(80%)でした。今四半期は、90日以内に修正完了した割合が、前四半期(163件中110件(67%))より増加しています。

表1-3.修正完了件数
分類今期件数累計件数
ソフトウェア製品 41 1,000
ウェブサイト 253 6,194
合計 294 7,194

1-3. 連絡不能案件の取扱状況

 本制度では、連絡が取れない製品開発者を「連絡不能開発者」と呼び、連絡の糸口を得るため、当該製品開発者名等を公表して情報提供を求めています(*6)。製品開発者名を公表後、3ヵ月経過しても製品開発者から応答が得られない場合は、製品情報(対象製品の具体的な名称およびバージョン)を公表します。それでも応答が得られない場合は、情報提供の期限を追記します。情報提供の期限までに製品開発者から応答がない場合は、当該脆弱性情報の公表に向け、「情報セキュリティ早期警戒パートナーシップガイドライン」に定められた公表条件を満たしているかを公表判定委員会(*7)で審議します。公表が適当と判定された脆弱性情報はJVNに公表されます。

 今四半期に新たに製品開発者名を公表したものはなく、製品開発者と連絡が取れたため調整を再開した3件を削除しました。2015年3末時点の連絡不能開発者の累計公表件数は160件、その内製品情報を公表しているものは143件となりました。

1-4. 脆弱性の傾向について

WordPress プラグイン、テーマの脆弱性に注意

 ~セキュリティパッチの適用はCMS本体だけではない!~

 2015年第1四半期は、41件の脆弱性対策情報がJVNに公表されました。そのうち6件はCMS(Content Management System)の一種である「WordPress」の機能を拡張する部品ともいえる、「プラグイン」や「テーマ」というソフトウェアに作りこまれた脆弱性でした(表1-4)。この6件の中にはウェブ改ざんや情報漏えいにつながる可能性のあるSQLインジェクションの脆弱性や、CAPTCHAというウェブサイトへのアクセスが人間かを判別する画像認証機能が回避されてしまう脆弱性などがありました。

表1-4.2015年第1四半期JVN公表一覧
JVN
公表日
JVN番号 脆弱性 CVSS
基本値
2015/3/31 JVN#75615300 WordPress 用プラグイン「All in One SEO Pack」における情報管理不備の脆弱性 5.0
2015/3/26 JVN#97281747 WordPress 用テーマ「flashy」におけるクロスサイト・スクリプティングの脆弱性 4.3
2015/3/6 JVN#87204433 WordPress 用プラグイン「All In One WP Security & Firewall」におけるクロスサイト・リクエスト・フォージェリの脆弱性 2.6
2015/3/6 JVN#30832515 WordPress 用プラグイン「All In One WP Security & Firewall」における SQL インジェクションの脆弱性 5.1
2015/3/3 JVN#55063777 WordPress 用プラグイン「Google Captcha (reCAPTCHA) by Best-WebSoft」における CAPTCHA 保護メカニズムを回避される脆弱性 5.0
2015/3/3 JVN#93727681 WordPress 用プラグイン「Captcha」における CAPTCHA 保護メカニズムを回避される脆弱性 5.0

 「WordPress プラグイン」は、「WordPress」で作成したウェブサイトのカスタマイズ・機能強化等を支援するソフトウェアです。また、「WordPressテーマ」は、ウェブサイトの見栄えや構成を容易に変更出来るソフトウェアです。このような 「プラグイン」や「テーマ」などの“拡張機能”を提供するソフトウェアは、不特定の第三者(CMS製品開発者以外)により自由に開発されて提供されています。そのため、安全性への配慮が十分でない場合“拡張機能”に脆弱性が作りこまれてしまうことがあります。下記は2014年1月以降JVN iPediaに登録された、CMS本体とその“拡張機能”の脆弱性対策情報を四半期毎に集計したものです(図1-2)。今四半期までの合計は440件で、そのうち90%に相当する398件がCMSの“拡張機能”の脆弱性対策情報でした。

図 1-2.JVN iPediaに登録されたCMSに関する脆弱性対策情報(2014年1月~2015年月)

 このように利用者の多い“拡張機能”に脆弱性があった場合、それを使用して作成したウェブサイトには脆弱性が作りこまれてしまい悪意ある第三者によりウェブサイトが改ざんされたり、重要な情報が窃取されたりする可能性があります。一部の報道や警察庁(*8)によると、2015年3月に国内で発生したウェブサイト改ざんの中には「WordPressプラグイン」の脆弱性が悪用された被害がありました。この被害の発生した「プラグイン」 には2015年2月に最新版が配布されていましたので、このサイトに最新版が適用されていなかった可能性があります。

当事者はそれぞれ下記の通り、安全なソフトウェアに求められる作業を実施してください。

■“拡張機能”等ソフトウェアの製品開発者

  • 脆弱性を作りこまないよう、安全性を考慮した開発を行う
  • 作成した“拡張機能”がCMS本体に脆弱性を作りこんでしまわないかを検証する
  • 脆弱性が発見された場合は、迅速に修正する
  • 修正パッチを利用者に向けて配布、告知し、アップデートを促す

■ CMSおよびCMS“拡張機能”の利用者

  • 使用しているCMSおよびCMSの“拡張機能”等、ソフトウェアの把握する
  • 使用しているソフトウェアの脆弱性対策情報の収集する
  • 使用していないソフトウェアの削除する
  • “拡張機能”を使用し作成したウェブサイトに脆弱性が作りこまれていないかを検証する
  • 最新版へアップデートする

 

脚注

(*1) 情報セキュリティ早期警戒パートナーシップガイドライン
https://www.ipa.go.jp/security/ciadr/partnership_guide.html
https://www.jpcert.or.jp/vh/index.html

(*2) 1就業日あたりの届出件数は、「累計届出件数」/「届出受付開始からの就業日数」にて算出

(*3) P.10 表2-3参照

(*4) JVN公表日の目安は、脆弱性の取扱いを開始した日時から起算して45日後としています。

(*5) 対処の目安は、ウェブサイト運営者が脆弱性の通知を受けてから、3ヶ月以内としています。

(*6) 連絡不能開発者一覧:
https://jvn.jp/reply/index.html

(*7) 連絡不能案件の脆弱性情報を公表するか否かを判定するためにIPAが組織する。
法律、情報セキュリティ、当該ソフトウェア製品分野の専門的な知識経験を有する専門家、かつ、当該案件と利害関係のない者で構成される。

(*8) 「Islamic State(ISIS)」と称する者によるウェブサイト改ざんについて
http://www.npa.go.jp/keibi/biki/201503kaizan.pdf
「Islamic State(ISIS)」と称する者によるウェブサイト改ざんに係る注意喚起について
http://www.npa.go.jp/cyberpolice/detect/pdf/20150312.pdf

資料のダウンロード

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター 渡辺/板橋
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。

JPCERT/CC 情報流通対策グループ 古田
Tel: 03-3518-4600 Fax: 03-3518-4602
E-mail: 電話番号:03-3518-4600までお問い合わせください。

更新履歴

2015年4月23日 掲載