HOME情報セキュリティ情報セキュリティ対策脆弱性対策ソフトウェア等の脆弱性関連情報に関する届出状況[2015年第2四半期(4月~6月)]

本文を印刷する

情報セキュリティ

ソフトウェア等の脆弱性関連情報に関する届出状況[2015年第2四半期(4月~6月)]

掲載日 2015年7月23日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター

  • 以下は、「ソフトウェア等の脆弱性関連情報の取扱いに関する活動報告レポート」1章の抜粋です。

1. 2015年第2四半期 ソフトウェア等の脆弱性関連情報に関する届出受付状況

1-1.脆弱性関連情報の届出受付状況

 ~脆弱性の届出件数の累計は11,062件~

 表1-1は本制度(*1)における届出状況についてです。2015年第2四半期の脆弱性関連情報(以降「脆弱性」)の届出件数、および届出受付開始(2004年7月8日)から今四半期までの累計を示しています。今期のソフトウェア製品に関する届出件数は88件、ウェブサイト(ウェブアプリケーション)に関する届出は75件、合計163件でした。届出受付開始からの累計は11,062件で、内訳はソフトウェア製品に関するもの2,123件、ウェブサイトに関するもの8,939件でウェブサイトに関する届出が全体の約8割を占めています。

 図1-1のグラフは過去3年間の届出件数の四半期ごとの推移を示したものです。今四半期は、ソフトウェア製品に関する届出が前四半期とほぼ同じ件数、ウェブサイトに関する届出が前四半期の約5割に減少しました。表1-2は過去3年間の四半期ごとの届出の累計および1就業日あたりの届出件数の推移です。今四半期の1就業日あたりの届出件数は4.13(*2)件でした。

表1-1.届出件数
分類 今期件数 累計件数
ソフトウェア製品 88 2,123
ウェブサイト 75 8,939
合計 163 11,062

図1-1. 脆弱性関連情報の届出件数の四半期別推移

表1-2.届出件数(過去3年間)
  2012   2013       2014       2015  
3Q 4Q 1Q 2Q 3Q 4Q 1Q 2Q 3Q 4Q 1Q 2Q
累計届出件数
[件]
7,948 8,168 8,435 8,667 9,026 9,325 9,515 9,843 10,175 10,652 10,899 11,062
1就業日あたり
[件/日]
3.98 3.78 3.96 3.96 4.00 4.03 4.01 4.04 4.07 4.17 4.17 4.13

1-2. 脆弱性の修正完了状況

 ~ソフトウェア製品およびウェブサイトの修正件数は累計7,394件~

 表1-3は今四半期、および届出受付開始から今四半期までのソフトウェア製品とウェブサイトの修正完了件数を示しています。ソフトウェア製品の場合、修正が完了するとJVNに公表しています(回避策の公表のみでプログラムの修正をしていない場合を含む)。

 今四半期にJVN公表したソフトウェア製品の件数は42件(*3)(累計1,042件)でした。そのうち、1件は製品開発者による自社製品の脆弱性の届出でした。また、届出を受理してからJVN公表までの日数が45日(*4)以内だったのは6件(14%)でした。

 また、修正完了したウェブサイトの件数は158件(累計6,352件)でした。これらは届出を受け、IPAがウェブサイト運営者に通知を行い、今四半期に修正を完了したものです。修正を完了した158件のうち、ウェブアプリケーションを修正したものは114件(72%)、当該ページを削除したものは44件(28%)、運用で回避したものは0件でした。なお、修正を完了した158件のうち、ウェブサイト運営者へ脆弱関連情報を通知してから90日(*5)以内に修正が完了したのは76件(48%)でした。今四半期は、90日以内に修正完了した割合が、前四半期(253件中202件(80%))より減少しています。

表1-3.修正完了(JVN公表)
分類今期件数累計件数
ソフトウェア製品 42 1,042
ウェブサイト 158 6,352
合計 200 7,394

1-3 連絡不能案件の取扱状況

 本制度では、連絡が取れない製品開発者を「連絡不能開発者」と呼び、連絡の糸口を得るため、当該製品開発者名等を公表して情報提供を求めています(*6)。製品開発者名を公表後、3ヵ月経過しても製品開発者から応答が得られない場合は、製品情報(対象製品の具体的な名称およびバージョン)を公表します。それでも応答が得られない場合は、情報提供の期限を追記します。情報提供の期限までに製品開発者から応答がない場合は、当該脆弱性情報の公表に向け、「情報セキュリティ早期警戒パートナーシップガイドライン」に定められた条件を満たしているかを公表判定委員会(*7)で審議します。公表が適当と判定された脆弱性情報はJVNに公表されます。

 今四半期は、11件について製品開発者と連絡が取れたため調整を再開しました。また、新たに連絡が取れない製品開発者名を20件公表しました。

 2015年6月末時点の連絡不能開発者の累計公表件数は205件、その内製品情報を公表しているものは167件となりました。また、2015年5月に第2回目の公表判定委員会を開催し、2件の脆弱性情報について審議しました。

1-4. 脆弱性の傾向について

遠隔操作されてしまう可能性のある脆弱性に注意

 ~システムに深刻な影響を及ぼす可能性のある脆弱性には迅速な対応を~

 2015年第2四半期は、42件の脆弱性対策情報がJVNに公表されました。そのうち攻撃者に遠隔操作される可能性がある脆弱性は12件で、28.6%を占めました(表1-4)。これらは、PCで利用するソフトウェア製品やサーバで利用されるソフトウェア製品に大別されます。

表1-4.今期JVN公表された脆弱性のうち、遠隔操作の可能性があるソフトウェア一覧
PCで利用するソフトウェア製品
JVN
公表日
JVN番号 脆弱性 注意喚起の有無 深刻度 (CVSS基本値)
2015/4/2 JVN#58784309 「秀丸エディタ」におけるバッファオーバーフローの脆弱性 II(6.8)
2015/4/9 JVN#12329472 「Lhaplus」において任意のコードを実行される脆弱性 II(6.8)
2015/5/19 JVN#78689801 「BGA32.DLL」および「QBga32.DLL」における複数の脆弱性   II(6.8)
2015/5/22 JVN#93976566 「SXF 共通ライブラリ」におけるバッファオーバーフローの脆弱性 II(6.8)
2015/6/5 JVN#50447904 バッファロー製の複数の無線 LAN ルータにおける OS コマンド・インジェクションの脆弱性   II(5.2)
2015/6/12 JVN#18146081 「Microsoft Windows」の LoadLibrary 関数における入力を適切に検証しない脆弱性   III(7.6)
サーバで利用されるソフトウェア製品
JVN
公表日
JVN番号 脆弱性 注意喚起の有無 深刻度 (CVSS基本値)
2015/4/14 JVN#56297719 「JBoss RichFaces」において任意の Java コードが実行される脆弱性 III(7.5)
2015/5/1 JVN#67520407 「EasyCTF」における任意のファイルを作成される脆弱性   II(6.5)
2015/5/20 JVN#64459670 「mt-phpincgi」において任意の PHP コードが実行可能な脆弱性 III(7.5)
2015/6/9 JVN#05559185 「MilkyStep」における OS コマンド・インジェクションの脆弱性 III(7.5)
2015/6/12 JVN#24336273 「BloBee」における任意のファイルを作成される脆弱性   III(7.5)
2015/6/23 JVN#19578958 「Symfony」におけるコード・インジェクションの脆弱性 II(6.8)

CVSS基本値:脆弱性の深刻度を表す指標(0.0~10.0)

 表1-4のような遠隔操作されてしまう可能性のある脆弱性を放置しておくと、PCやサーバそのものが乗っ取られてしまう可能性があります(図1-2)。また、乗っ取られてしまうと、サーバの停止・データ改ざん、個人情報の窃取などの被害の懸念があります。

 なお、IPAではソフトウェア製品の普及度合いと脆弱性の深刻度等、複数の条件を勘案し、攻撃の発生が懸念される場合に適宜、注意喚起を発信しています。表1-4の12件の脆弱性において、注意喚起と判断されたものは7件でした。

図1-2. 脆弱性が悪用(情報窃取)される一例

 利用者の多いソフトウェア製品に脆弱性が見つかったり、見つかった脆弱性が特定の業種で汎用的に利用されていたりする場合などは、攻撃の標的にされる可能性があります。加えて、脆弱性を悪用するプログラムや攻撃の手法がインターネット上に公開されてしまうと、攻撃が多発する場合があります。そのため、利用しているソフトウェア製品の脆弱性対策等が公開されたら、即座の対応が必要です。ただし、サーバに組込まれているソフトウェア製品の場合は修正によって不具合が生じる可能性があります。事前にサーバへの影響を確認し、対策の実施の判断を行ってください。不具合等を確認した場合は、代替策を検討してください。

 

脚注

(*1)情報セキュリティ早期警戒パートナーシップガイドライン
https://www.ipa.go.jp/security/ciadr/partnership_guide.html
https://www.jpcert.or.jp/vh/index.html

(*2) 1就業日あたりの届出件数は、「累計届出件数」/「届出受付開始からの就業日数」にて算出

(*3) P.9 表2-3参照

(*4) JVN公表日の目安は、脆弱性の取扱いを開始した日時から起算して45日後としています。

(*5)対処の目安は、ウェブサイト運営者が脆弱性の通知を受けてから、3ヶ月以内としています。

(*6) 連絡不能開発者一覧:
https://jvn.jp/reply/index.html

(*7) 連絡不能案件の脆弱性情報を公表するか否かを判定するためにIPAが組織する。
法律、情報セキュリティ、当該ソフトウェア製品分野の専門的な知識や経験を有する専門家、かつ、当該案件と利害関係のない者で構成される。

資料のダウンロード

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター 渡辺/板橋
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。

JPCERT/CC 情報流通対策グループ 久保
Tel: 03-3518-4600 Fax: 03-3518-4602
E-mail: 電話番号:03-3518-4600までお問い合わせください。

更新履歴

2015年7月23日 掲載