HOME情報セキュリティ情報セキュリティ対策脆弱性対策脆弱性対策情報データベースJVN iPediaの登録状況[2008年第3四半期(7月~9月)]

本文を印刷する

情報セキュリティ

脆弱性対策情報データベースJVN iPediaの登録状況[2008年第3四半期(7月~9月)]

~脆弱性の分類にCWE(共通脆弱性タイプ一覧)の適用を開始~
CWE(Common Weakness Enumeration)

掲載日 2008年10月20日
>> ENGLISH

 独立行政法人情報処理推進機構(略称:IPA、理事長:西垣 浩司)は、2008年第3四半期(7月~9月)の脆弱性対策情報データベース「JVN iPedia」(ジェイブイエヌ アイ・ペディア)の登録状況をまとめました。

 脆弱性対策情報データベース「JVN iPedia( http://jvndb.jvn.jp/ )」は、(1)国内のソフトウェア製品開発者が公開した脆弱性対策情報、(2)脆弱性対策情報ポータルサイトJVN(*1)で公表した脆弱性対策情報、(3)米国立標準技術研究所NIST(*2)の脆弱性データベース「NVD(*3)」が公開した脆弱性対策情報、の中から日本国内で使用されている製品に関する対策情報を収集、翻訳し、2007年4月25日から公開しています。

 JVN iPediaは、2007年4月25日に3,562件の脆弱性対策情報にて公開以来、各四半期で約300件の情報を登録しています。2008年9月30日現在の脆弱性対策情報は、(1)国内製品開発者から収集したもの62件、(2)JVNから収集したもの516件、(3)NVDから収集したもの4,769件、合計5,347件となりました(表1、図1)。

 また、JVN iPedia英語版( http://jvndb.jvn.jp/en/ )を、国内外の脆弱性対策情報流通の促進と国際協力の強化を目指し、2008年5月21日から公開しています。2008年9月30日現在の脆弱性対策情報は、(1)国内製品開発者から収集したもの62件、(2)JVNから収集したもの315件、合計377件となりました。

 JVN iPediaは2008年9月10日より、脆弱性の種類の分類にCWE(共通脆弱性タイプ一覧:Common Weakness Enumeration)の試行を開始しました。その後、CWEの表示・検索などCWE互換を宣言するための要件を整備し、2008年10月3日よりCWEの適用を開始しました。次のMITRE(*4)のページでも紹介されています。
http://cwe.mitre.org/compatible/organizations.html

 2008年第3四半期(7月~9月)に登録した脆弱性の種類で、CWEの分類で件数が多い脆弱性の種類は、CWE-399(リソース管理の問題)、CWE-264(認可・権限・アクセス制御)、CWE-20(不十分な入力確認)、CWE-119(バッファエラー)、CWE-79(クロスサイト・スクリプティング)などとなっています(図2)。
 広く知れ渡っている脆弱性の対策情報が依然として数多く公開されています。製品開発者は既知の脆弱性を認識し、製品の企画・設計段階からのセキュリティへの考慮が必要です。

 JVN iPediaへのアクセス数を見ると、DNS、Lhaplus、Apache、Adobe Reader/Acrobat、Sun JREなど、よく知られている製品の脆弱性対策情報に多数のアクセスがありました(表2)。JVN iPediaは、月に10万件を超えるアクセスがあり、今後もJVN iPediaが、脆弱性対策情報のデータベースとして活用されることを期待します。

1.2008年第3四半期の概況

1.1 2008年第3四半期の登録状況

 表1、図1に示すように、2008年第3四半期(2008年7月1日から9月30日まで)の脆弱性対策情報の登録件数は、国内製品開発者から収集したもの10件、JVNから収集したもの42件、NVDから収集したもの253件、合計305件でした。

 公開開始(2007年4月25日)からの累計は、国内製品開発者から収集したもの62件、JVNから収集したもの516件、NVDから収集したもの4,769件、合計5,347件となりました。

表1.2008年第3四半期の登録件数

情報の収集元 登録件数 累計件数
国内製品開発者
10
62
JVN
42
516
NVD
253
4,769
305
5,347

図1.JVN iPediaの登録件数の四半期別推移

1.2 2008年第3四半期に登録した脆弱性の種類

 図2にJVN iPediaへ2008年第3四半期に登録した脆弱性について、CWE(共通脆弱性タイプ一覧:Common Weakness Enumeration)の分類で、脆弱性の種類ごとの件数を示します。

 2008年第3四半期に登録した脆弱性の種類で、件数が多い上位10種類は、CWE-399(リソース管理の問題)が40件、CWE-264(認可・権限・アクセス制御)が37件、CWE-20(不十分な入力確認)が35件、CWE-119(バッファエラー)が31件、CWE-79(クロスサイト・スクリプティング)が29件、CWE-189(数値処理の問題)が28件、CWE-200(情報漏えい)が14件、CWE-94(コード・インジェクション)が10件、CWE-16(環境設定)が5件、CWE-22(パス・トラバーサル)が5件となっています。

 これらは広く知れ渡っている脆弱性の種類です。製品開発者は、これらの脆弱性に関してIPAが公開している「安全なウェブサイトの作り方」や「セキュア・プログラミング講座」などを参考に、ソフトウェア製品の企画・設計段階から情報セキュリティを考慮する必要があります。

図2. 2008年第3四半期に登録した脆弱性の種類

2.脆弱性対策情報の登録状況

2.1 JVN iPediaに登録済みの脆弱性の深刻度

 JVN iPediaでは、共通脆弱性評価システムCVSSにより、それぞれの脆弱性の深刻度を公表しています。
 図3にJVN iPediaに登録済みの脆弱性について、製品開発者やセキュリティポータルサイト等が脆弱性対策情報を公開した日を基にした、脆弱性の深刻度の公開年別推移を示します。
 2008年は、レベルIII(危険、CVSS基本値=7.0~10.0)が46%、レベルII(警告、CVSS基本値=4.0~6.9)が49%、レベルI(注意、CVSS基本値=0.0~3.9)が5%となっています。
 2004年以降、脆弱性対策情報の公開が急増しており、脆弱性の深刻度が高いものも多く、製品利用者は情報を日々収集し、製品のバージョンアップやセキュリティ対策パッチの適用などが必要です。

図3.脆弱性の深刻度の公開年別推移

2.2 JVN iPediaに登録済みの脆弱性の製品の種類

 図4にJVN iPediaに登録済みの脆弱性について、ソフトウェア製品の種類の公開年別推移を示します。
 Internet Explorer、FireFox、Microsoft Officeなどのデスクトップアプリケーションや、Webサーバ、アプリケーションサーバ、データベースなどのミドルウェア、また、PHP、Java、GNUライブラリなどの開発・運用系など、アプリケーション・ソフトウェアの脆弱性対策情報の公開が年々増加しています。毎年、数多くのアプリケーションが新しく開発され、それらのアプリケーションにおいて脆弱性が発見されています。
 Windows、Mac OS、UNIX、LinuxなどのOSに関しては、2005年頃までは脆弱性の公開件数が増加傾向にありましたが、2005年以降は公開件数が減少しています。OSに関しては、毎年脆弱性は発見されるものの、後継製品での脆弱性対策が迅速に施されているようです。
 2005年頃から、ネットワーク機器、携帯電話、DVDレコーダなどの情報家電など、組込みソフトウェアの脆弱性の対策情報が徐々に公開されており、今四半期においては iPhone、iPod touchが公開されています。

図4.脆弱性対策情報を公表した製品の種類の公開年別推移

2.3 オープンソースソフトウェアの割合

 図5にJVN iPediaに登録済みの脆弱性について、オープンソースソフトウェア(OSS)とOSS以外のソフトウェアの公開年別推移を示します。その割合は全体でOSSが37%、OSS以外が63%となっています。OSSの割合の年別推移を見ると、1998年から2003年までは上昇傾向でしたが、2003年 をピークに、その後は低下傾向となっています。

図5.オープンソースソフトウェア(OSS)とOSS以外の公開年別推移

2.5 ソフトウェア製品の開発者(ベンダ)の内訳

 JVN iPediaに登録済みのソフトウェア製品の開発者(ベンダ)に関して、図6にOSSのベンダの内訳、図7にOSS以外のベンダの内訳を示します。
 図6に示すように、OSSは、国内ベンダが51、海外ベンダ(日本法人有り)が21、海外ベンダ(日本法人無し)が157、合計229ベンダとなっています。また、図7に示すように、OSS以外は、国内ベンダが91、海外ベンダ(日本法人有り)が42、海外ベンダ(日本法人無し)が13、合計146ベンダとなっています。
 OSSに関しては、日本法人の無い海外ベンダの脆弱性対策情報が数多く登録されています。OSSを利用する場合、製品のバージョンアップやセキュリティパッチの適用などのノウハウを持たない製品利用者は、製品のサポートサービスの活用、保守契約上の取り決め等の工夫が必要です。

図6.OSSのベンダの内訳、図7.OSS以外のベンダの内訳

3.脆弱性対策情報の活用状況

 表2は今四半期にアクセスの多かったJVN iPediaの脆弱性対策情報を、アクセス数の多い順番に上位20件までを示しています。DNS、Lhaplus、Apache、Adobe Reader/Acrobat、Sun JREなど、よく使用されている製品で、脆弱性の深刻度が高く、近年公開された情報に多数のアクセスがありました。

 表3は国内の製品開発者から収集した脆弱性対策情報に関してアクセス数上位5件を示しています。

表2.JVN iPediaの脆弱性対策情報のアクセス数上位20件

#

ID

タイトル

CVSS
基本値

公開日

1

JVNDB-2008-001495

複数の DNS 実装にキャッシュポイズニングの脆弱性

6.4

2008/07/23

2

JVNDB-2008-000050

ウイルスセキュリティおよびウイルスセキュリティZERO におけるサービス運用妨害 (DoS) の脆弱性

4.3

2008/08/12

3

JVNDB-2008-000040

WebLogic Server および WebLogic Express に付属するプラグインにおけるディレクトリトラバーサルの脆弱性

5.0

2008/07/18

4

JVNDB-2008-000022

Lhaplus におけるバッファオーバーフローの脆弱性

6.8

2008/04/28

5

JVNDB-2008-000037

複数のパナソニック コミュニケーションズ株式会社製ネットワークカメラにおけるクロスサイトスクリプティングの脆弱性

4.3

2008/07/31

6

JVNDB-2008-000039

iPod touch および iPhone に搭載されている Safari において証明書が不正に受け入れられる脆弱性

2.6

2008/07/14

7

JVNDB-2008-001284

Adobe Flash Player における整数オーバーフローの脆弱性

6.8

2008/04/30

8

JVNDB-2007-001017

Apache HTTP Server の 413 エラーメッセージにおける HTTP メソッドを適切に検査しない問題

4.3

2007/12/20

9

JVNDB-2008-000044

K's CGI 製アクセスログ解析(Jcode.pm版) におけるクロスサイトスクリプティングの脆弱性

5.0

2008/07/23

10

JVNDB-2008-000016

Sun JRE (Java Runtime Environment) の XSLT 処理における脆弱性

6.8

2008/03/11

11

JVNDB-2008-000060

簡単WEBサーバーにおけるクロスサイトスクリプティングの脆弱性

4.3

2008/09/17

12

JVNDB-2008-000033

複数のサイボウズ製品におけるクロスサイトリクエストフォージェリの脆弱性

2.6

2008/06/27

13

JVNDB-2008-000036

FreeStyleWiki におけるクロスサイトスクリプティングの脆弱性

4.3

2008/07/03

14

JVNDB-2008-000009

Apache Tomcat において不正な Cookie を送信される脆弱性

4.3

2008/02/12

15

JVNDB-2008-000038

Redmine におけるクロスサイトスクリプティングの脆弱性

4.0

2008/07/07

16

JVNDB-2008-000035

サイボウズガルーンにおいて任意のスクリプトが実行される脆弱性

4.3

2008/06/27

17

JVNDB-2008-000056

Movable Type におけるクロスサイトスクリプティングの脆弱性

4.3

2008/09/09

18

JVNDB-2008-000017

アイ・オー・データ製無線 LAN ルータ WN-APG/R シリーズおよび WN-WAPG/R シリーズにおける初期設定に関する脆弱性

7.5

2008/03/18

19

JVNDB-2008-001469

Adobe Reader および Adobe Acrobat の JavaScript メソッドに入力値を適切に処理できない脆弱性

10.0

2008/07/11

20

JVNDB-2008-001043

X.Org Foundation 製 X サーバにおけるバッファオーバーフローの脆弱性

7.4

2008/01/31

表3.国内の製品開発者から収集した脆弱性対策情報の中のアクセス数上位5件

#

ID

タイトル

CVSS
基本値

公開日

1

JVNDB-2008-001150

JP1/秘文の暗号化/復号機能および持ち出し制御機能における正しく動作が行われない問題

3.6

2008/03/14

2

JVNDB-2008-001313

JP1/Cm2/Network Node Manager におけるサービス運用妨害 (DoS) の脆弱性

5.0

2008/05/09

3

JVNDB-2008-001347

JP1/Cm2/Network Node Manager の Web 連携機能における複数の脆弱性

7.5

2008/05/28

4

JVNDB-2008-001350

日立の Groupmax Collaboration 関連製品におけるクロスサイトスクリプティングの脆弱性

4.3

2008/05/28

5

JVNDB-2008-001647

Jasmine の WebLink テンプレート実行時における複数の脆弱性

7.5

2008/09/10

注1)CVSS基本値の深刻度による色分け

CVSS基本値=0.0~3.9
深刻度=レベルI(注意)

CVSS基本値=4.0~6.9
深刻度=レベルII(警告)

CVSS基本値=7.0~10.0
深刻度=レベルIII(危険)

 

注2)公開日の四半期による色分け

2007年4Q公開

2008年1Q公開

2008年2Q公開

2008年3Q公開

脚注

(*1)Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/

(*2)National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
http://www.nist.gov/

(*3)National Vulnerability Database。NISTが運営する脆弱性データベース。
http://nvd.nist.gov/home.cfm

(*4)MITRE Corporation。米国政府向けの技術支援や研究開発を行う非営利組織。
http://www.mitre.org/

資料のダウンロード

本件に関するお問い合わせ先

独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC) 山岸/渡辺

Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。