HOME情報セキュリティ情報セキュリティ対策脆弱性対策ソフトウェア等の脆弱性関連情報に関する届出状況[2015年第4四半期(10月~12月)]

本文を印刷する

情報セキュリティ

ソフトウェア等の脆弱性関連情報に関する届出状況[2015年第4四半期(10月~12月)]

掲載日 2016年1月27日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター

  • 以下は、「ソフトウェア等の脆弱性関連情報の取扱いに関する活動報告レポート」1章の抜粋です。

1. 2015年第4四半期 ソフトウェア等の脆弱性関連情報に関する届出受付状況

1-1. 脆弱性関連情報の届出受付状況

 ~脆弱性の届出件数の累計は11,494件~

 表1-1は本制度(*1)における届出状況についてです。2015年第4四半期の脆弱性関連情報(以降「脆弱性」)の届出件数、および届出受付開始(2004年7月8日)から今四半期までの累計を示しています。今期のソフトウェア製品に関する届出件数は134件、ウェブサイト(ウェブアプリケーション)に関する届出は87件、合計221件でした。届出受付開始からの累計は11,494件で、内訳はソフトウェア製品に関するもの2,376件、ウェブサイトに関するもの9,118件でウェブサイトに関する届出が全体の約8割を占めています。

 図1-1のグラフは過去3年間の届出件数の四半期ごとの推移を示したものです。今四半期は前期同様、ソフトウェア製品に関する届出がウェブサイトに関する届出よりも多数を占めました。表1-2は過去3年間の四半期ごとの届出の累計および1就業日あたりの届出件数の推移です。今四半期の1就業日あたりの届出件数は4.11(*2)件でした。

表1-1.届出件数
分類 今期件数 累計件数
ソフトウェア製品 134 2,376
ウェブサイト 87 9,118
合計 221 11,494

 

図1-1. 脆弱性関連情報の届出件数の四半期ごとの推移

 

表1-2.届出件数(過去3年間)
  2013 2014 2015
1Q 2Q 3Q 4Q 1Q 2Q 3Q 4Q 1Q 2Q 3Q 4Q
累計届出件数
[件]
8,436 8,668 9,025 9,324 9,514 9,842 10,174 10,651 10,898 11,060 11,273 11,494
1就業日あたり
[件/日]
3.96 3.96 4.00 4.03 4.01 4.04 4.07 4.17 4.17 4.13 4.12 4.11

 

 また、図1-2は、届出受付開始から2015年12月末までの届出件数の年ごとの推移です。過去、最も届出が多かったのは、2008年(2,625件)でした。2015年はソフトウェア製品が428件、ウェブサイトが415件の合計843件でした。また、今年はソフトウェア製品の届出件数が過去最多、かつウェブサイトより多い年となりました。

図1-2. 脆弱性関連情報の届出件数の年ごとの推移

 

1.2. 脆弱性の修正完了状況

 ~ソフトウェア製品およびウェブサイトの修正件数は累計7,712件~

 表1-3は今四半期、および届出受付開始から今四半期までのソフトウェア製品とウェブサイトの修正完了件数を示しています。ソフトウェア製品の場合、修正が完了するとJVNに公表しています(回避策の公表のみでプログラムの修正をしていない場合を含む)。

 今四半期にJVN公表したソフトウェア製品の件数は52件(*3)(累計1,147件)でした。そのうち、2件は製品開発者による自社製品の脆弱性の届出でした。なお、届出を受理してからJVN公表までの日数が45日(*4)以内だったのは9件(17%)でした。

 また、修正完了したウェブサイトの件数は84件(累計6,565件)でした。これらは届出を受け、IPAがウェブサイト運営者に通知を行い、今四半期に修正を完了したものです。修正を完了した84件のうち、ウェブアプリケーションを修正したものは59件(70%)、当該ページを削除したものは25件(30%)で、運用で回避したものは0件でした。なお、修正を完了した84件のうち、ウェブサイト運営者へ脆弱関連情報を通知してから90日(*5)以内に修正が完了したのは38件(45%)でした。今四半期は、90日以内に修正完了した割合が、前四半期(129件中43件(33%))より増加しています。

 また、図1-3は、届出開始から2015年12月末までの修正完了件数の年ごとの推移を示しています。過去、修正を完了した件数が最も多かったのは2009年の1,401件でした。2015年は、ソフトウェア製品が188件、ウェブサイトが624件の合計812件でした。2015年はソフトウェア製品の修正件数が、最も多かった1年でした。

表1-3.修正完了(JVN公表)
分類今期件数累計件数
ソフトウェア製品 52 1,147
ウェブサイト 84 6,565
合計 136 7,712

 

図1-3. 脆弱性関連情報の届出件数の四半期ごとの推移

 

1.3. 連絡不能案件の取扱状況

 本制度では、連絡が取れない製品開発者を「連絡不能開発者」と呼び、連絡の糸口を得るため、当該製品開発者名等を公表して情報提供を求めています(*6)。製品開発者名を公表後、3ヵ月経過しても製品開発者から応答が得られない場合は、製品情報(対象製品の具体的な名称およびバージョン)を公表します。それでも応答が得られない場合は、情報提供の期限を追記します。情報提供の期限までに製品開発者から応答がない場合は、当該脆弱性情報の公表に向け、「情報セキュリティ早期警戒パートナーシップガイドライン」に定められた条件を満たしているかを公表判定委員会(*7)で審議します。公表が適当と判定された脆弱性情報はJVNに公表されます。

 今四半期は、3件について製品開発者と連絡が取れたため調整を再開しました。新たに連絡が取れない製品開発者名の公表はありませんでした。また、公表判定委員会での審議を経て、脆弱性情報がJVNに公表されたものもありませんでした。

 2015年12月末時点の連絡不能開発者の累計公表件数は217件、その内製品情報を公表しているものは174件となりました。

1-4. 脆弱性の傾向について

7社(*8)のルータにクリックジャッキングの脆弱性

 ~組み込まれたウェブアプリケーションにもセキュリティ意識を~

 2015年第4四半期は、52件の脆弱性対策情報がJVNに公表されました。そのうち9件(17%)は、家庭用ルータ、ネットワークカメラおよびファイアウォールといった組込み機器の脆弱性でした(表1-4)。

表1-4.今四半期、JVN公表された「組込み機器」に関連する脆弱性
表1-4.今四半期、JVN公表された「組込み機器」に関連する脆弱性

 上記の赤枠はクリックジャッキングの脆弱性で、初のJVN公表でした。また、この公表では複数の製品開発者のルータのクリックジャッキングの脆弱性が掲載されました(*9)

 クリックジャッキングの脆弱性とは、正常なページを装った悪意あるページを作成し、その上に利用者が本来目にするはずの正規のページを“透明化”し重ね、利用者に悪意あるページをクリック操作させようとする手口です。ルータのウェブ管理画面にクリックジャッキングの脆弱性が存在すると、利用者には正規のページが目に見えず、表示された悪意あるページをそうとは知らずクリックした場合、意図しない設定変更や操作を実行してしまう可能性があります。その結果、第三者にルータを不正利用される可能性があります。なお、IPAでは2013年にクリックジャッキングの手口と対策を解説したレポートを公開していますので参考にしてください(*10)

クリックジャッキングの脆弱性を悪用する攻撃は次の2つのページが用意されます。

1. 正常なページを装った悪意あるページ。利用者にはこのページが見えている。 (図1-4.ページA)
2. 悪意により透明化させた正規のページ。 (図1-4.ページB)

 図1-4をもとに、利用者の操作イメージを記載します。たとえば、メール文中のURLをクリックするなど、何らかの手段で誘導され攻撃者が用意したウェブページにアクセスしてしまうと、表示されるのは悪意あるウェブページ(ページA)です。しかし、実際にはページAの手前に正規のページBが表示されていますが、透明化されており利用者には見えていません。

 図のように、ページAには利用者がボタンをクリックしてしまいそうな「クリックで5万円プレゼント!」などと表示されています。もし利用者が表示されているページAのボタンをクリックした場合、ページAの手前に重ねられた透明の正規のページBの「設定の初期化」をクリックしてしまうことになります。ページBはルータの利用者に用意された正規のページですが、透明化されているため、利用者自らのクリックであるにもかかわらず、そうとは知らない間に設定が変更されてしまうことになります。(図1-4)。

図1-4. クリックジャッキングの脆弱性を悪用された場合のイメージ
図1-4. クリックジャッキングの脆弱性を悪用された場合のイメージ

 既に市場に流通している組込み機器に脆弱性があった場合、利用者への修正プログラムの提供など、迅速な対策が難しい場合があります。また、利用者にも脆弱性対策の必要が生じます。開発者、利用者は以下の通り、それぞれの立場で求められる対策を行う必要があります。

・製品開発者
 前述のようなルータのウェブ管理画面は機器に組み込まれたウェブアプリケーションといえます。機器の利用と管理を容易にするためのウェブアプリケーションの開発には、クリックジャッキングに限らず、脆弱性が作りこまれる可能性があります。組込み機器のウェブアプリケーション開発では要件定義、設計、開発といった各工程の仕様の明確化、出荷前検査等の対策が自組織のみならず委託先組織へも求められます。
 また、脆弱性が見つかった場合、開発者は早急に修正(修正プログラムの提供)を行う必要があります。
 IPAが行った調査で、セキュリティパッチの更新をしないと回答した人にその理由を聞いたところ、最多だったのは30.5%の「書かれている内容がわからない」でした(*11)。このことから、開発者は修正パッチの作成・提供にとどまらず、利用者には修正プログラム適用の周知と必要性の啓発、さらに利用者が容易に適用できるような工夫が求められます(*12)

・利用者
 製品開発者による修正が行われた場合、製品開発者からの情報をもとに速やかに修正プログラムの適用を行うことが求められます。また、利用している製品について、製品開発者のサポートページを定期的に確認するといった行動が、早急な脆弱性対策につながります。

 

脚注

(*1)情報セキュリティ早期警戒パートナーシップガイドライン
https://www.ipa.go.jp/security/ciadr/partnership_guide.html
https://www.jpcert.or.jp/vh/index.html

(*2) 1就業日あたりの届出件数は、「累計届出件数」/「届出受付開始からの就業日数」にて算出

(*3) P.10 表2-3参照

(*4) JVN公表日の目安は、脆弱性の取扱いを開始した日時から起算して45日後としています。

(*5)対処の目安は、ウェブサイト運営者が脆弱性の通知を受けてから、3ヶ月以内としています。

(*6) 連絡不能開発者一覧:
https://jvn.jp/reply/index.html

(*7) 連絡不能案件の脆弱性情報を公表するか否かを判定するためにIPAが組織する。
法律、情報セキュリティ、当該ソフトウェア製品分野の専門的な知識や経験を有する専門家、かつ、当該案件と利害関係のない者で構成される。

(*8)2016年1月21日時点の各社における当該脆弱性に関する情報をIPAが調べたもの。

(*9)JVN「JVN#48135658 複数のルータ製品におけるクリックジャッキングの脆弱性」
https://jvn.jp/jp/JVN48135658/index.html

(*10)IPAテクニカルウォッチ「知らぬ間にプライバシー情報の非公開設定を公開設定に変更されてしまうなどの『クリックジャッキング』に関するレポート」
https://www.ipa.go.jp/about/technicalwatch/20130326.html

(*11)「2015年度情報セキュリティの脅威に対する意識調査」P76:
https://www.ipa.go.jp/security/fy27/reports/ishiki/index.html

(*12)「ソフトウエア製品開発者による脆弱性対策情報の公表マニュアル」:
https://www.ipa.go.jp/files/000044734.pdf

資料のダウンロード

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター 渡辺/板橋
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。

JPCERT/CC 情報流通対策グループ 久保
Tel: 03-3518-4600 Fax: 03-3518-4602
E-mail: 電話番号:03-3518-4600までお問い合わせください。

更新履歴

2016年1月27日 掲載