HOME情報セキュリティ情報セキュリティ対策脆弱性対策脆弱性対策情報データベースJVN iPediaの登録状況[2008年第4四半期(10月~12月)]

本文を印刷する

情報セキュリティ

脆弱性対策情報データベースJVN iPediaの登録状況[2008年第4四半期(10月~12月)]

掲載日 2009年1月28日
>> ENGLISH

 IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、2008年第4四半期(10月~12月)の脆弱性対策情報データベース「JVN iPedia」(ジェイブイエヌ アイ・ペディア)の登録状況をまとめました。

 脆弱性対策情報データベース「JVN iPedia( http://jvndb.jvn.jp/ )」は、日本国内で使用されているソフトウェア製品の脆弱性対策情報を収集するためのポータルサイトを目指し、(1)国内のソフトウェア製品開発者が公開した脆弱性対策情報、(2)脆弱性対策情報ポータルサイトJVN(*1)で公表した脆弱性対策情報、(3)米国立標準技術研究所NIST(*2)の脆弱性データベース「NVD(*3)」が公開した脆弱性対策情報、の中から情報を収集、翻訳し、2007年4月25日から公開しています。

1. 今四半期のトピックス

1.1 広く知れ渡っている種類の脆弱性対策情報が依然として数多く公開されています

 図1は、JVN iPediaへ今四半期に登録した脆弱性対策情報を、CWE(*4)(共通脆弱性タイプ一覧:Common Weakness Enumeration)で分類した、脆弱性の種類ごとの件数です。

 件数が多い脆弱性の種類は、CWE-264(認可・権限・アクセス制御の脆弱性)が61件、CWE-79(クロスサイト・スクリプティング)が52件、CWE-20(不十分な入力確認)が51件、CWE-119(バッファエラー)が49件、CWE-399(リソース管理の問題)が48件、CWE-89(SQLインジェクション)が33件、CWE-189(数値処理の問題)が27件、CWE-200(情報漏えい)が23件などとなっています。

 これらは広く知れ渡っている脆弱性の種類です。製品開発者は、これらの脆弱性に関してIPAが公開している「安全なウェブサイトの作り方(*5)」や「セキュア・プログラミング講座(*6)」などを参考に、ソフトウェア製品の企画・設計段階から情報セキュリティを考慮する必要があります。

図1. 2008年第4四半期に登録した脆弱性の種類

1.2 CWE/SANS Top 25 Most Dangerous Programming Errorsが発表されました

 MITRE社(*7)とSANS(*8)がとりまとめた、「2009 CWE/SANS Top 25 Most Dangerous Programming Errors」(*9)が2009年1月12日に発表されました。この取り組みには、CERT、Symantec、Microsoft、Red Hat、米国土安全保障省、米国家安全保障局など、30を超える組織が協力しており、IPAも協力しました(*10)

 このTop25は、700を超えるCWEの脆弱性の種類の中から、発生頻度が高く、見つけ易く、攻撃し易く、最も危険な脆弱性を25個リストアップしたものです。

 大きく3つに分類されており、「(1)コンポーネント間の連携がセキュアでない」の分類としてCWE-20(不十分な入力確認)、CWE-89(SQLインジェクション)、CWE-79(クロスサイト・スクリプティング)など9つが、「(2)危険なリソース管理」の分類としてCWE-119(バッファエラー)、CWE-94(コード・インジェクション)など9つが、「(3)不備のある防御」の分類としてCWE-285(アクセス制御の不備)など7つがリストアップされています。

 このTop25がソフトウェア製品開発者に対し、プログラム開発時に同様の脆弱性を作り込まないための教育・普及コンテンツとして活用されることを期待します。

1.3 JVN iPedia, MyJVNのCVE互換を宣言しました

 共通脆弱性識別子CVE(Common Vulnerabilities and Exposures)(*11)は、個別製品中の脆弱性を対象として、米国政府の支援を受けた非営利団体のMITRE社が採番している識別子です。脆弱性検査ツールや脆弱性対策情報提供サービスの多くがCVEを利用しています。

 個別製品中の脆弱性に一意の識別番号「CVE識別番号(CVE-ID)」を付与することにより、組織Aの発行する脆弱性対策情報と、組織Xの発行する脆弱性対策情報とが同じ脆弱性に関する対策情報であることを判断したり、対策情報同士の相互参照や関連付けに利用したりできます。

 MITRE社では、CERT/CCやHP、IBM、OSVDB、Red Hat、Symantecなど80を超える主要な脆弱性情報サイトと連携して、脆弱性情報の収集と、重複のない採番に努めています。

 JVN iPediaも、MITRE社と連携してCVE採番の枠組みに参加するため、JVN iPediaで公表する脆弱性に対するCVEの割り当てを申請することとし、2008年10月からはMITRE社が公表している「CVE情報源サイト」の一つとして公示されるようになりました(*12)

 さらに2008年12月には、連携の意思を明確に示すため、JVN iPediaと2008年10月に公開した脆弱性対策情報収集ツールMyJVNの「CVE互換宣言」を行いました(*13)

 今後も共通基準の導入を進めることにより、国内外の脆弱性対策情報流通の促進を図ると共に、利用者側の客観的・効率的な脆弱性対策を目指した利活用基盤を整備していきます。

1.4 2008年第4四半期の登録状況

 表1、図2に示すように、2008年第4四半期(2008年10月1日から12月31日まで)の脆弱性対策情報の登録件数は、国内製品開発者から収集したもの6件、JVNから収集したもの67件、NVDから収集したもの440件、合計513件でした。

 公開開始(2007年4月25日)からの累計は、国内製品開発者から収集したもの68件、JVNから収集したもの584件、NVDから収集したもの5,208件、合計5,860件となりました。

 JVN iPediaのアクセス数は月に20万件を超えており、今後もJVN iPediaが、脆弱性対策情報のデータベースとして活用されることを期待します。

表1.2008年第4四半期の登録件数

情報の収集元 登録件数 累計件数
国内製品開発者
6
68
JVN
67
584
NVD
440
5,208
513
5,860

図2.JVN iPediaの登録件数の四半期別推移

2. 脆弱性対策情報の登録状況

2.1 JVN iPediaに登録済みの脆弱性の深刻度

 図3にJVN iPediaに登録済みの脆弱性について、製品開発者やセキュリティポータルサイト等が脆弱性対策情報を公開した日を基にした、脆弱性の深刻度の公開年別推移を示します。2004年以降、脆弱性対策情報の公開が急増しており、2008年は年間で1,270件でした。

 JVN iPediaでは、共通脆弱性評価システムCVSS(*14)により、それぞれの脆弱性の深刻度(*15)を公表しています。2008年は、レベルIII(危険、CVSS基本値=7.0~10.0)が49%、レベルII(警告、CVSS基本値=4.0~6.9)が45%、レベルI(注意、CVSS基本値=0.0~3.9)が6%となっています。

 深刻度の高い脆弱性が多数公開されていることから、製品利用者は情報を日々収集し、製品のバージョンアップやセキュリティ対策パッチの適用などを遅滞なく行うことが必要です。

図3.脆弱性の深刻度の公開年別推移

2.2 JVN iPediaにて脆弱性対策情報を公表した製品の種類

 図4にJVN iPediaに登録済みの脆弱性について、ソフトウェア製品の種類の公開年別推移を示します。

 Internet Explorer、Firefox、Microsoft Officeなどのデスクトップアプリケーションや、Webサーバ、アプリケーションサーバ、データベースなどのミドルウェア、また、PHP、Java、GNUライブラリなどの開発・運用系など、アプリケーション・ソフトウェアの脆弱性対策情報の公開が年々増加しています。

 毎年、数多くのアプリケーションが新しく開発され、それらのアプリケーションにおいて脆弱性が発見されており、アプリケーション・ソフトウェアのセキュリティ対策は特に重要となっています。

 Windows、Mac OS、UNIX、LinuxなどのOSに関しては、2005年頃までは脆弱性の公開件数が増加傾向にありましたが、2005年以降は公開件数が減少しています。OSに関しては、毎年脆弱性は発見されるものの、後継製品での脆弱性対策が迅速に施されているようです。

 2005年頃から、ネットワーク機器、携帯電話、DVDレコーダなどの情報家電など、組込みソフトウェアの脆弱性の対策情報が徐々に公開されています。

図4.脆弱性対策情報を公表した製品の種類の公開年別推移

2.3 オープンソースソフトウェアの割合

 図5にJVN iPediaに登録済みの脆弱性について、オープンソースソフトウェア(OSS)とOSS以外のソフトウェアの公開年別推移を示します。その割合は全体でOSSが31%、OSS以外が69%となっています。OSSの割合の年別推移を見ると、1998年から2003年までは上昇傾向でしたが、2003年をピークに、その後は低下傾向となっています。

図5.オープンソースソフトウェア(OSS)とOSS以外の公開年別推移

2.4 ソフトウェア製品の開発者(ベンダ)の内訳

 JVN iPediaに登録済みのソフトウェア製品の開発者(ベンダ)に関して、図6にOSSのベンダの内訳、図7にOSS以外のベンダの内訳を示します。

 図6に示すように、OSSは、国内ベンダが53、海外ベンダ(日本法人有り)が21、海外ベンダ(日本法人無し)が174、合計248ベンダとなっています。また、図7に示すように、OSS以外は、国内ベンダが95、海外ベンダ(日本法人有り)が47、海外ベンダ(日本法人無し)が25、合計167ベンダとなっています。

 OSSに関しては、日本法人の無い海外ベンダの脆弱性対策情報が数多く登録されています。OSSを利用する場合、製品のバージョンアップやセキュリティパッチの適用などのノウハウを持たない製品利用者は、製品のサポートサービスの活用、保守契約上の取り決め等の考慮が必要です。

図6.OSSのベンダの内訳、図7.OSS以外のベンダの内訳,

3.脆弱性対策情報の活用状況

 表2は今四半期にアクセスの多かったJVN iPediaの脆弱性対策情報を、アクセス数の多い順番に上位20件まで示しています。DNS、Apacheなどのよく使用されている製品や、Movable Type、EC-CUBE、Blosxomなどのコンテンツ管理を行うための製品の、近年公開された情報に多数のアクセスがありました。

 表3は国内の製品開発者から収集した脆弱性対策情報に関して、アクセス数上位5件を示しています。

表2.JVN iPediaの脆弱性対策情報のアクセス数上位20件

#

ID

タイトル

アクセス

CVSS
基本値

公開日

1

JVNDB-2008-001495

複数の DNS 実装にキャッシュポイズニングの脆弱性

2,603

6.4

2008/7/9

2

JVNDB-2008-000072

Movable Type におけるクロスサイトスクリプティングの脆弱性

2,284

4.0

2008/10/17

3

JVNDB-2008-000068

hisa_cart における情報漏洩の脆弱性

2,138

5.0

2008/10/17

4

JVNDB-2008-000070

Internet Explorer における CDO によるダウンロードのダイアログボックス回避の脆弱性

2,133

2.6

2008/10/20

5

JVNDB-2008-000071

MyNETS におけるクロスサイトスクリプティングの脆弱性

2,038

3.5

2008/10/20

6

JVNDB-2008-000073

Blosxom におけるクロスサイトスクリプティングの脆弱性

1,995

4.3

2008/10/20

7

JVNDB-2008-000065

EC-CUBE における SQL インジェクションの脆弱性

1,578

7.5

2008/10/1

8

JVNDB-2008-000069

Apache Tomcat において権限のないクライアントからのリクエストが実行されてしまう脆弱性

1,546

2.6

2008/10/10

9

JVNDB-2008-000050

ウイルスセキュリティおよびウイルスセキュリティZERO におけるサービス運用妨害 (DoS) の脆弱性

1,085

4.3

2008/8/12

10

JVNDB-2008-000074

Snoopy における OS コマンドインジェクションの脆弱性

970

5.1

2008/10/28

11

JVNDB-2008-000062

EC-CUBE におけるクロスサイトスクリプティングの脆弱性

947

4.3

2008/10/1

12

JVNDB-2008-000064

EC-CUBE におけるクロスサイトスクリプティングの脆弱性

918

4.3

2008/10/1

13

JVNDB-2008-000063

EC-CUBE におけるクロスサイトスクリプティングの脆弱性

902

4.3

2008/10/1

14

JVNDB-2008-000066

Nucleus EUC-JP 日本語版におけるクロスサイトスクリプティングの脆弱性

862

4.3

2008/10/6

15

JVNDB-2008-000079

アイ・オー・データ製 HDL-F シリーズにおけるクロスサイトリクエストフォージェリの脆弱性

842

7.0

2008/11/26

16

JVNDB-2008-000084

PHP におけるクロスサイトスクリプティングの脆弱性

766

2.6

2008/12/19

17

JVNDB-2008-000067

Movable Type Enterprise におけるクロスサイトスクリプティングの脆弱性

718

4.3

2008/12/3

18

JVNDB-2008-000022

Lhaplus におけるバッファオーバーフローの脆弱性

542

6.8

2008/4/28

19

JVNDB-2008-000083

futomi's CGI Cafe 製高機能アクセス解析CGI におけるセッション ID が推測可能な脆弱性

507

5.8

2008/12/12

20

JVNDB-2008-000009

Apache Tomcat において不正な Cookie を送信される脆弱性

502

4.3

2008/2/12

表3.国内の製品開発者から収集した脆弱性対策情報の中のアクセス数上位5件

#

ID

タイトル

アクセス

CVSS
基本値

公開日

1

JVNDB-2008-001911

Groupmax Workflow - Development Kit for Active Server Pages におけるクロスサイトスクリプティングの脆弱性

258

5.0

2008/10/31

2

JVNDB-2008-001895

JP1/VERITAS NetBackup の JAVA Administration GUI における特権昇格の脆弱性

248

6.5

2008/10/24

3

JVNDB-2008-001647

Jasmine の WebLink テンプレート実行時における複数の脆弱性

246

7.5

2008/8/14

4

JVNDB-2008-001150

JP1/秘文の暗号化/復号機能および持ち出し制御機能における正しく動作が行われない問題

156

3.6

2008/2/27

5

JVNDB-2008-001313

JP1/Cm2/Network Node Manager におけるサービス運用妨害 (DoS) の脆弱性

155

5.0

2008/4/4

注1)CVSS基本値の深刻度による色分け

CVSS基本値=0.0~3.9
深刻度=レベルI(注意)

CVSS基本値=4.0~6.9
深刻度=レベルII(警告)

CVSS基本値=7.0~10.0
深刻度=レベルIII(危険)

 

注2)公開日の四半期による色分け

2008年1Q公開

2008年2Q公開

2008年3Q公開

2008年4Q公開

脚注

(*1)Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/

(*2)National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
http://www.nist.gov/

(*3)National Vulnerability Database。NISTが運営する脆弱性データベース。
http://nvd.nist.gov/home.cfm

(*4)「共通脆弱性タイプ一覧CWE概説」を参照下さい。
http://www.ipa.go.jp/security/vuln/CWE.html

(*5)安全なウェブサイトの作り方。
http://www.ipa.go.jp/security/vuln/websecurity.html

(*6)セキュア・プログラミング講座。
http://www.ipa.go.jp/security/awareness/vendor/programmingv2/index.html

(*7)MITRE Corporation。米国政府向けの技術支援や研究開発を行う非営利組織。
http://www.mitre.org/

(*8)SANS Institute。政府・企業間における研究やITセキュリティ教育を行う米国の組織。
http://www.sans.org/

(*9)http://cwe.mitre.org/top25/

(*10)http://cwe.mitre.org/top25/contributors.html

(*11)脆弱性情報を一意に特定するための標準仕様で、脆弱性に対して共通の識別子(CVE-ID)を付与したリストです。米国の非営利団体のMITRE社が管理・運営しています。概要は「共通脆弱性識別子CVEの概説」を参照下さい。
http://www.ipa.go.jp/security/vuln/CVE.html

(*12)http://cve.mitre.org/data/refs/index.html#sources

(*13)http://cve.mitre.org/compatible/organizations.html

(*14)共通脆弱性評価システムCVSS v2概説。
http://www.ipa.go.jp/security/vuln/SeverityCVSS2.html

(*15)脆弱性の深刻度評価の新バージョンCVSS v2への移行について。CVSS(Common Vulnerability Scoring System、共通脆弱性評価システム)。
http://www.ipa.go.jp/security/vuln/SeverityLevel2.html

資料のダウンロード

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター 山岸/渡辺

Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。