HOME情報セキュリティ情報セキュリティ対策脆弱性対策ソフトウェア等の脆弱性関連情報に関する届出状況[2015年第3四半期(7月~9月)]

本文を印刷する

情報セキュリティ

ソフトウェア等の脆弱性関連情報に関する届出状況[2015年第3四半期(7月~9月)]

掲載日 2015年10月27日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター

  • 以下は、「ソフトウェア等の脆弱性関連情報の取扱いに関する活動報告レポート」1章の抜粋です。

1. 2015年第3四半期 ソフトウェア等の脆弱性関連情報に関する届出受付状況

1-1.脆弱性関連情報の届出受付状況

 ~脆弱性の届出件数の累計は11,272件~

 表1-1は本制度(*1)における届出状況についてです。2015年第3四半期の脆弱性関連情報(以降「脆弱性」)の届出件数、および届出受付開始(2004年7月8日)から今四半期までの累計を示しています。今期のソフトウェア製品に関する届出件数は122件、ウェブサイト(ウェブアプリケーション)に関する届出は91件、合計213件でした。届出受付開始からの累計は11,272件で、内訳はソフトウェア製品に関するもの2,242件、ウェブサイトに関するもの9,030件でウェブサイトに関する届出が全体の約8割を占めています。

 図1-1のグラフは過去3年間の届出件数の四半期ごとの推移を示したものです。今四半期は、ソフトウェア製品に関する届出がウェブサイトに関する届出よりも多く、全体の57%割合を占めました。表1-2は過去3年間の四半期ごとの届出の累計および1就業日あたりの届出件数の推移です。今四半期の1就業日あたりの届出件数は4.12(*2)件でした。

表1-1.届出件数
分類 今期件数 累計件数
ソフトウェア製品 122 2,242
ウェブサイト 91 9,030
合計 213 11,272

図1-1. 脆弱性関連情報の届出件数の四半期ごとの推移

表1-2.届出件数(過去3年間)
  2012 2013 2014 2015
4Q 1Q 2Q 3Q 4Q 1Q 2Q 3Q 4Q 1Q 2Q 3Q
累計届出件数
[件]
8,168 8,435 8,667 9,024 9,323 9,513 9,841 10,173 10,650 10,897 11,059 11,272
1就業日あたり
[件/日]
3.78 3.96 3.96 4.00 4.03 4.01 4.04 4.07 4.17 4.17 4.13 4.12

1.2. 脆弱性の修正完了状況

 ~ソフトウェア製品およびウェブサイトの修正件数は累計7,576件~

 表1-3は今四半期、および届出受付開始から今四半期までのソフトウェア製品とウェブサイトの修正完了件数を示しています。ソフトウェア製品の場合、修正が完了するとJVNに公表しています(回避策の公表のみでプログラムの修正をしていない場合を含む)。

 今四半期にJVN公表したソフトウェア製品の件数は53件(*3) (累計1,095件)でした。そのうち、製品開発者による自社製品の脆弱性の届出は1件でした。また、届出を受理してからJVN公表までの日数が45日(*4) 以内だったのは12件(23%)でした。

 また、修正完了したウェブサイトの件数は129件(累計6,481件)でした。これらは届出を受け、IPAがウェブサイト運営者に通知を行い、今四半期に修正を完了したものです。修正を完了した129件のうち、ウェブアプリケーションを修正したものは75件(58%)、当該ページを削除したものは54件(42%)、運用で回避したものは0件でした。なお、修正を完了した129件のうち、ウェブサイト運営者へ脆弱関連情報を通知してから90日(*5)以内に修正が完了したのは43件(33%)でした。今四半期は、90日以内に修正完了した割合が、前四半期(158件中76件(48%))より減少しています。

表1-3.修正完了(JVN公表)
分類今期件数累計件数
ソフトウェア製品 53 1,095
ウェブサイト 129 6,481
合計 182 7,576

1.3. 連絡不能案件の取扱状況

 本制度では、連絡が取れない製品開発者を「連絡不能開発者」と呼び、連絡の糸口を得るため、当該製品開発者名等を公表して情報提供を求めています(*6)。製品開発者名を公表後、3ヵ月経過しても製品開発者から応答が得られない場合は、製品情報(対象製品の具体的な名称およびバージョン)を公表します。それでも応答が得られない場合は、情報提供の期限を追記します。情報提供の期限までに製品開発者から応答がない場合は、当該脆弱性情報の公表に向け、「情報セキュリティ早期警戒パートナーシップガイドライン」に定められた条件を満たしているかを公表判定委員会(*7)で審議します。公表が適当と判定された脆弱性情報はJVNに公表されます。

 今四半期は、4件について製品開発者と連絡が取れたため調整を再開し、新たに連絡が取れない製品開発者名を12件公表しました。また、公表判定委員会での審議を経て、2件の脆弱性情報がJVNに公表されました。

 2015年9月末時点の連絡不能開発者の累計公表件数は217件、その内製品情報を公表しているものは165件となりました。

1-4. 脆弱性に関するトピック

アプリケーション開発に多用される「アプリケーション開発・実行環境」の脆弱性に注意

 ~アプリケーション開発者は開発に関連するソフトウェアの脆弱性情報の収集を~

 今四半期にJVN公表した脆弱性対策情報53件のうち6件は、アプリケーションを効率的に開発するため、汎用的な機能が予め備えられている「アプリケーション開発・実行環境」(以降、「開発・実行環境」)に存在する脆弱性でした(表1-4)。

表1-4. 今四半期、JVNに公表された「開発・実行環境」に関連するソフトウェアの脆弱性
「スクリプトエンジン」に関連した脆弱性
JVN
公表日
JVN番号 脆弱性名
9月2日 JVN#08494613 「NScripter」におけるバッファオーバーフローの脆弱性
 
「アプリケーションフレームワーク」に関連した脆弱性
JVN
公表日
JVN番号 脆弱性名
8月20日 JVN#17611367 「Apache Tapestry」における信頼できないデータをデシリアライズする脆弱性
9月4日 JVN#88408929 「Apache Struts」におけるクロスサイト・スクリプティングの脆弱性
9月4日 JVN#95989300 「Apache Struts」におけるクロスサイト・スクリプティングの脆弱性
9月16日 JVN#73346595 「アプリカン」におけるアクセス制限不備の脆弱性
9月29日 JVN#21612597 Apache Cordova プラグイン cordova-plugin-file-transfer における HTTP ヘッダ・インジェクションの脆弱性

 アプリケーションには効率的な開発のため、「開発・実行環境」が予め、組み込まれていることが少なくありません。

 そのため、アプリケーション開発者は「スクリプトエンジン(*8)」や「アプリケーションフレームワーク(*9) 」といった「開発・実行環境」を利用することで、開発コストを削減できます(図 1-2)。

図1-2 「開発・実行環境」で作成したアプリケーションのイメージ
図1-2 「開発・実行環境」で作成したアプリケーションのイメージ

 このため、表 1-4 のような「開発・実行環境」を使用して開発された多くのアプリケーションには、「開発・実行環境」で発見された脆弱性の影響を受け、同じ脆弱性をアプリケーションに内包してしまいます。また、1つの「開発・実行環境」を用いて複数のアプリケーションが開発され、その結果利用は広範にわたります。そのためアプリケーションそのものに脆弱性が見つかるよりも、「開発・実行環境」に脆弱性が見つかった場合のほうが、その影響は深刻といえます(図 1-3)。

 

図 1-3 「開発・実行環境」に見つかった脆弱性の影響範囲
図 1-3 「開発・実行環境」に見つかった脆弱性の影響範囲

 また、そのような脆弱性の影響を受けたアプリケーションが標的となる事実も確認しています。そのため、アプリケーション開発者およびウェブサイト管理者は日頃から開発に利用した「開発・実行環境」などソフトウェアの把握及び脆弱性対策情報の収集に努めるようにしてください。役割、立場に応じてそれぞれの対応は以下のように異なります。

・アプリケーション開発者
脆弱性対策情報が公表された場合は速やかに、アプリケーションの再構築等を行う必要があります。その後、修正した脆弱性情報とともに、修正したアプリケーションもしくは修正パッチを公開し、アプリケーション利用者へアップデートもしくは修正パッチを適用するように通知してください。

・ウェブサイト管理者
「開発・実行環境」を使用して構築したウェブアプリケーションの脆弱性対策(保守・メンテナンス)は、ウェブサイト管理者が行う必要があります。その場合、「開発・実行環境」の修正パッチ適用を検討のうえ、適用してください。修正パッチを適用しない場合は、脆弱性による影響を受けないための回避策を検討し、対策を実施してください。

 

脚注

(*1)情報セキュリティ早期警戒パートナーシップガイドライン
https://www.ipa.go.jp/security/ciadr/partnership_guide.html
https://www.jpcert.or.jp/vh/index.html

(*2) 1就業日あたりの届出件数は、「累計届出件数」/「届出受付開始からの就業日数」にて算出

(*3) P.9 表2-3参照

(*4) JVN公表日の目安は、脆弱性の取扱いを開始した日時から起算して45日後としています。

(*5)対処の目安は、ウェブサイト運営者が脆弱性の通知を受けてから、3ヶ月以内としています。

(*6) 連絡不能開発者一覧:
https://jvn.jp/reply/index.html

(*7) 連絡不能案件の脆弱性情報を公表するか否かを判定するためにIPAが組織する。
法律、情報セキュリティ、当該ソフトウェア製品分野の専門的な知識や経験を有する専門家、かつ、当該案件と利害関係のない者で構成される。

(*8)ゲームソフトの開発に利用されます。

(*9)ウェブアプリケーションやスマートフォンアプリなどの開発に利用されます。

資料のダウンロード

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター 渡辺/板橋
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。

JPCERT/CC 情報流通対策グループ 久保
Tel: 03-3518-4600 Fax: 03-3518-4602
E-mail: 電話番号:03-3518-4600までお問い合わせください。

更新履歴

2015年12月2日 誤記訂正
2015年10月27日 掲載