HOME情報セキュリティ情報セキュリティ対策脆弱性対策ソフトウェア等の脆弱性関連情報に関する届出状況[2016年第4四半期(10月~12月)]

本文を印刷する

情報セキュリティ

ソフトウェア等の脆弱性関連情報に関する届出状況[2016年第4四半期(10月~12月)]

掲載日 2017年1月25日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター

  • 以下は、「ソフトウェア等の脆弱性関連情報関する届出状況」1章の抜粋です。

1. 2016年第4四半期 ソフトウェア等の脆弱性関連情報に関する届出状況

1-1. 脆弱性関連情報の届出状況

 ~脆弱性の届出件数の累計は12,916件~

 表1-1は本制度(*1)における2016年第4四半期の脆弱性関連情報の届出件数、および届出受付開始(2004年7月8日)から今四半期までの累計を示しています。今四半期のソフトウェア製品に関する届出件数は138件、ウェブアプリケーション(以降「ウェブサイト」)に関する届出は104件、合計242件でした。届出受付開始からの累計は12,916件で、内訳はソフトウェア製品に関するもの3,433件、ウェブサイトに関するもの9,483件でウェブサイトに関する届出が全体の約7割を占めています。

 図1-1は過去3年間の届出件数の四半期ごとの推移を示したものです。今四半期はウェブサイトよりもソフトウェア製品に関して多くの届出がありました。表1-2は過去3年間の四半期ごとの届出の累計および1就業日あたりの届出件数の推移です。今四半期の1就業日あたりの届出件数は4.25(*2)件でした。

表1-1.届出件数
分類 今四半期件数 累計
ソフトウェア製品 138 3,433
ウェブサイト 104 9,483
合計 242 12,916

 

図1-1. 脆弱性関連情報の届出件数の四半期ごとの推移

 

表1-2.届出件数(過去3年間)
  2014 2015 2016
1Q 2Q 3Q 4Q 1Q 2Q 3Q 4Q 1Q 2Q 3Q 4Q
累計届出件数
[件]
9,512 9,840 10,172 10,649 10,896 11,058 11,271 11,506 11,690 12,444 12,674 12,916
1就業日あたり
[件/日]
4.01 4.04 4.07 4.16 4.17 4.13 4.12 4.11 4.09 4.26 4.25 4.25

 

 また、図1-2は、届出受付開始から2016年12月末までの届出件数の年ごとの推移です。過去、最も届出が多かったのは、2008年(2,625件)でした。2016年はソフトウェア製品が1,045件、ウェブサイトが367件の合計1,412件でした。昨年に引き続きソフトウェア製品がウェブサイトの届出件数を上回り全体の7割以上を占め、ソフトウェア製品の届出件数が過去最多となりました。

表1-2.脆弱性関連情報の届出件数の年ごとの推移

1.2. 脆弱性の修正完了状況

 ~ソフトウェア製品およびウェブサイトの修正件数は累計8,261件~

 表1-3は今四半期、および届出受付開始から今四半期までのソフトウェア製品とウェブサイトの修正完了件数を示しています。ソフトウェア製品の場合、修正が完了するとJVNに公表しています(回避策の公表のみでプログラムの修正をしていない場合を含む)。

 今四半期にJVN公表したソフトウェア製品の件数は65件(*3)(累計1,382件)でした。そのうち、20件は製品開発者による自社製品の脆弱性の届出でした。なお、届出を受理してからJVN公表までの日数が45日(*4)以内のものは17件(26%)でした。

 また、修正完了したウェブサイトの件数は60件(累計6,879件)でした。修正を完了した60件のうち、ウェブアプリケーションを修正したものは39件(65%)、当該ページを削除したものは21件(35%)で、運用で回避したものは0件でした。なお、修正を完了した60件のうち、ウェブサイト運営者へ脆弱関連情報を通知してから90日(*5)以内に修正が完了したものは43件(72%)でした。今四半期は、90日以内に修正完了した割合が、前四半期(78件中46件(59%))より増加しています。

 また、図1-3は、届出開始から2016年12月末までの修正完了件数の年ごとの推移を示しています。過去、修正を完了した件数が最も多かったのは2009年の1,401件でした。2016年は、ソフトウェア製品が235件、ウェブサイトが314件の合計549件でした。2016年はソフトウェア製品の修正件数が最も多かった1年でした。

表1-3.修正完了(JVN公表)
分類今四半期件数累計
ソフトウェア製品 65 1,382
ウェブサイト 60 6,879
合計 125 8,261

図1-3.脆弱性関連情報の届出件数の年ごとの推移

1.3. 連絡不能案件の取扱状況

 本制度では、調整機関から連絡が取れない製品開発者を「連絡不能開発者」と呼び、連絡の糸口を得るため、当該製品開発者名等を公表して情報提供を求めています(*6)。製品開発者名を公表後、3ヵ月経過しても製品開発者から応答が得られない場合は、製品情報(対象製品の具体的な名称およびバージョン)を公表します。それでも応答が得られない場合は、情報提供の期限を追記します。情報提供の期限までに製品開発者から応答がない場合は、当該脆弱性情報の公表に向け、「情報セキュリティ早期警戒パートナーシップガイドライン」に定められた条件を満たしているかを公表判定委員会(*7)で審議します。公表が適当と判定された脆弱性情報はJVNに公表されます。

 今四半期は、新たに3件について連絡が取れない製品開発者名を公表しました。また、3件の製品開発者と連絡が取れ調整を再開しました。また、公表判定委員会での審議を経て、脆弱性情報がJVNに公表されたものはありませんでした。

 2016年12月末時点の連絡不能開発者の累計公表件数は250件、その内製品情報を公表しているものは227件となりました。

1-4. JVNで公表した脆弱性について

 1-4-1. 複数のCMSプラグイン製品に含まれる脆弱性

 ~CMS本体だけでなく、プラグイン製品も適切な脆弱性対策を~

 2016年は190件の脆弱性対策情報がJVNにおいて公表し、そのうちCMS(*8)本体の脆弱性は8件、プラグイン製品の脆弱性は13件でした(表1-4-1)。CMSは一般的に、プラグイン製品を導入して機能を拡張するケースが多いため、プラグイン製品に対する脆弱性対策を実施することは重要です。

表1-4-1.JVNで公表されたCMS本体、プラグイン製品の一覧

 表1-4-1に記載されたプラグイン製品の脆弱性には、深刻度が高いPHPオブジェクト・インジェクションやSQLインジェクションの脆弱性も含まれています。これらの脆弱性を悪用された場合、任意のPHPコードを実行されたり、データベースを不正操作(取得、削除等)される可能性があり、プラグイン製品だけでなくCMS本体にも影響が及び、ウェブページの改ざんや情報漏えいといった重大な被害が発生する場合があります(図1-4-1)。

図1-4-1.CMSプラグイン製品の脆弱性を悪用するイメージ図

 製品利用者は、CMS本体だけでなく、利用しているプラグイン製品においても日頃から脆弱性対策情報を収集し、常に最新版のプラグイン製品を使うよう心がける必要があります。さらに、利用しているプラグイン製品の定期的な見直しを行い、利用していないプラグイン製品の削除といった運用も有効です。

 なお、初期版のリリース以後ほとんどアップデートがされていないプラグイン製品は、脆弱性が放置されている可能性があり、注意が必要です。例えば、メンテナンス(バージョンアップ)が実施されている、または、リリースノート等で機能改善だけでなく脆弱性対策についても記載しているといった点も考慮して、プラグイン製品を選定し導入することが望ましいです。

 1-4-2. 複数のCMSプラグイン製品に含まれる脆弱性

 ~製品開発者は積極的な脆弱性の対策と公表を~

 2016年でJVN公表した脆弱性対策情報(190件)のうち、55件(約30%)は、製品開発者自身(9社)による自社製品の届出で、直近の4年間で件数が最も多く、割合も最も高くなりました(図1-4-2)。近年では、脆弱性報奨金制度(*9)によって見つかった脆弱性対策情報を、一般利用者へ周知することを目的とし、製品開発者から本制度へ届出られていることが公表件数が増加した要因のひとつであると考えられます。

図1-4-2.JVNで公表された製品開発者自身による届出件数の推移

 JVNで公表された自社製品の届出55件のうち、CVSS値が高い(深刻度III)脆弱性は4件ありました(表1-4-2)。

表1-4-2.JVNで公表された製品開発者自身による届出(深刻度III)
項番 脆弱性 CVSS 基本値
1 「SKYSEA Client View」において任意のコードが実行可能な脆弱 10.0
2 「Deep Discovery Inspector」において任意のコードが実行可能な脆弱性 9.0
3 「WFS-SR01」において任意のコマンドを実行される脆弱性 7.5
4 「WFS-SR01」におけるアクセス制限不備の脆弱性 7.5

 これら4件の脆弱性は、いずれも悪用された場合の影響が大きく、脆弱性の悪用が容易と考えられます。上記の項番1においては、製品開発者が脆弱性対策情報を公開するよりも前に、攻撃活動が観測されたことから、IPAでは注意喚起を実施し、早急な対策の実施を呼びかけました(*10)。なお、JPCERT/CCや警察庁セキュリティポータルサイト@policeでも同様に注意喚起が行われました。悪用された場合の影響が大きい場合や、脆弱性の悪用が容易と考えられる脆弱性が見つかった場合、利用者に対して早急に対策実施を呼びかけ、被害を未然に防ぐことが、製品開発者のとるべき対応として重要となります。

 製品開発者は自社製品に脆弱性が見つかった場合、修正を施すだけでなく、ウェブページ等で脆弱性対策情報を公開、周知する必要があります。これは、製品利用者に脆弱性対策を実施した事を周知しないと、脆弱性対策が実施されないためです。

 さらに、JVNを活用して脆弱性対策情報を周知することで、より多くの製品利用者への周知することが可能です。

 1-4-3. JVNで公表したソフトウェア製品種類ごとの内訳

 ~情報家電に潜む脆弱性に注意~

 2012年から2016年までの5年間で、755件の脆弱性対策情報をJVNにおいて公表しています。公表したソフトウェア製品を製品種類別に分類し、上位5種類を集計しています。 製品種類が、1位のウェブアプリケーションソフトと2位のスマートフォン向けアプリケーションで、全体の約半数(49%)を占めています(図1-4-3)。

図1-4-3.2012年から2016年の製品種類別公表件数上位5種類

 5位のルータにおいては、ルータ固有の機能に対する脆弱性ではなく、PCやスマートフォンのウェブブラウザなどからアクセス可能な管理用ウェブアプリケーションに対する脆弱性がほとんどを占めています。このウェブアプリケーションの脆弱性が悪用されると、機器の設定を変更されたり、機器自体を乗っ取られたりするおそれがあります。

 2016年においては、ウェブカメラやフォトプレーヤーといった情報家電においても脆弱性対策情報を公表しています。近年は、冷蔵庫やエアコン、玄関の鍵など様々な機器をインターネットに接続し、遠隔地から操作を可能にする情報家電が普及し始めてきています。これらの情報家電においても、ウェブアプリケーションソフトが組み込まれていることが想定されます。

図1-4-4.ウェブカメラの管理用ウェブアプリケーションの脆弱性を悪用するイメージ図

 この様に、インターネットに接続する情報家電の普及に伴い、組み込まれているウェブアプリケーションの脆弱性が見つかることが、今後増加することと想定されるため、関係者は、次のように脆弱性対策を実施していく必要があります。

・製品開発者
 PC向けのウェブアプリケーションソフトと同じく、脆弱性対策を実施する必要があります。さらに、管理用ウェブアプリケーションの認証機能を強化する、不要なサービスは停止するといった対策を実施することで、攻撃者からの悪用を防ぐことができる可能性が高まります。また、ソフトウェアの自動更新といった機能、仕組みを導入することで、より効率的に製品利用者がソフトウェアの更新を実施することが期待できます。

・利用者
 製品開発者が公開する脆弱性対策情報やJVN等を日頃から確認し、製品開発者が提供するファームウェアのアップデートやパッチの適用を利用者自身が実施することによって、脆弱性を悪用した攻撃の被害を防ぐことができます。また、脆弱性を悪用されたことにより機器自体を乗っ取られた場合は、利用者自身が第三者に対する加害者となる場合があるため、脆弱性対策を実施する必要があります。

 

脚注

(*1)情報セキュリティ早期警戒パートナーシップガイドライン
https://www.ipa.go.jp/security/ciadr/partnership_guide.html
https://www.jpcert.or.jp/vh/index.html

(*2) 1就業日あたりの届出件数は、「累計届出件数」/「届出受付開始からの就業日数」にて算出

(*3) P.12 表2-3 参照

(*4) JVN公表日の目安は、脆弱性の取扱いを開始した日時から起算して45日後としています。

(*5)対処の目安は、ウェブサイト運営者が脆弱性の通知を受けてから、3ヶ月以内としています。

(*6) 連絡不能開発者一覧:
https://jvn.jp/reply/index.html

(*7) 連絡不能案件の脆弱性情報を公表するか否かを判定するためにIPAが組織する。
法律、情報セキュリティ、当該ソフトウェア製品分野の専門的な知識や経験を有する専門家、かつ、当該案件と利害関係のない者で構成される。

(*8) Content Management Systemの略称。インターネット上もしくはイントラネット上のウェブサイトのウェブページや画像などを「統合的」に管理し、ウェブサイトを構築するシステム。

(*9) 製品開発者が自社製品の品質向上を主な目的として、ユーザ(バグハンター)による自社ソフトウェア製品における脆弱性の発見および報告を受付ける制度。製品開発者は、脆弱性の深刻度に応じて報奨金をユーザ(バグハンター)に支払う場合がある。

(*10) 「SKYSEA Client View」において任意のコードが実行可能な脆弱性について(JVN#84995847)
https://www.ipa.go.jp/security/ciadr/vul/20161222-jvn.html

資料のダウンロード

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター 渡辺/板橋
Tel: 03-5978-7527 Fax: 03-5978-7552
E-mail: 電話番号:03-5978-7527までお問い合わせください。

JPCERT/CC 情報流通対策グループ 久保
Tel: 03-3518-4600 Fax: 03-3518-4602
E-mail: 電話番号:03-3518-4600までお問い合わせください。

更新履歴

2017年01月25日 掲載