HOME情報セキュリティ情報セキュリティ対策脆弱性対策脆弱性対策情報データベースJVN iPediaの登録状況[2009年第1四半期(1月~3月)]

本文を印刷する

情報セキュリティ

脆弱性対策情報データベースJVN iPediaの登録状況[2009年第1四半期(1月~3月)]

~製品開発者の発信する脆弱性対策情報の自動収集の試行を開始~

掲載日 2009年4月28日
>> ENGLISH

 IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、2009年第1四半期(1月~3月)の脆弱性対策情報データベース「JVN iPedia」(ジェイブイエヌ アイ・ペディア)の登録状況をまとめました。
 併せて、製品開発者が脆弱性対策情報を共通的に発信するためのガイドを2009年4月28日より公開し、製品開発者の発信する脆弱性対策情報の自動収集の試行を開始しました。

 脆弱性対策情報データベース「JVN iPedia( http://jvndb.jvn.jp/ )」は、日本国内で使用されているソフトウェア製品の脆弱性対策情報を収集するためのデータベースを目指し、(1)国内のソフトウェア製品開発者が公開した脆弱性対策情報、(2)脆弱性対策情報ポータルサイトJVN(*1)で公表した脆弱性対策情報、(3)米国立標準技術研究所NIST(*2)の脆弱性データベース「NVD(*3)」が公開した脆弱性対策情報、の中から情報を収集、翻訳し、2007年4月25日から公開しています。

(1)JVN iPediaの登録件数が6,000件を突破しました

 2009年第1四半期(2009年1月1日から3月31日まで)にJVN iPedia日本語版へ登録した脆弱性対策情報は、国内製品開発者から収集したもの5件(公開開始からの累計は73件)、JVNから収集したもの31件(累計615件)、NVDから収集したもの260件(累計5,468件)、合計296件(累計6,156件)で、累計件数が6,000件を突破しました(表1、図1)。

 JVN iPedia英語版は、国内製品開発者から収集したもの5件(累計73件)、JVNから収集したもの16件(累計353件)、合計21件(累計426件)でした。

表1.2009年第1四半期の登録件数

  情報の収集元 登録件数 累計件数
日本語版 国内製品開発者
5
73
JVN
31
615
NVD
260
5,468
296
6,156
英語版 国内製品開発者
5
73
JVN
16
353
21
426

図1.JVN iPedia日本語版の登録件数の四半期別推移

(2)製品開発者の発信する脆弱性対策情報の自動収集の試行を開始します

 国内のソフトウェア製品開発者が公開した脆弱性対策情報を網羅・蓄積し、利用者へ提供するために、JVNRSS(Japan Vulnerability Notes RSS)形式で発信された情報の自動収集の試行を開始します(図2)。

 JVNRSS形式は、IT利用者やシステム技術者が情報を効率的に収集できるように、JVNが採用している形式です。このJVNRSS形式を製品開発者も活用できるように「JVNRSSを用いた脆弱性対策情報の発信ガイド( http://www.ipa.go.jp/security/vuln/jvnrss.html )」を2009年4月28日から公開しました。

 自動収集を希望する製品開発者は、この発信ガイドを参考に、製品開発者のウェブサイトで、脆弱性対策情報をJVNRSS形式で発信し、併せて、IPAへ自動収集の申込みを行います。

 IPAでは、このJVNRSS形式で発信された脆弱性対策情報を、継続的に自動収集、およびJVN iPediaに登録し、IT利用者やシステム技術者などへ、網羅的な脆弱性対策情報として提供します。また、このJVNRSS形式を普及させ、利用者が効率的に脆弱性対策を行えるための利活用基盤を整備していきます。

図2.製品開発者の発信する脆弱性対策情報の自動収集方法

(3)脆弱性対策情報の自動収集の試行への参加手続き

  製品開発者からの申込みを、電子メールにて受付けます。記載事項は以下のとおりです。
  • 申込み先メールアドレス:
  • メールの件名:脆弱性対策情報の自動収集の申込み
  • 記載事項:
    1. ソフトウェア製品開発者のウェブサイトのURL
    2. 脆弱性対策情報をJVNRSS形式で発信するウェブページのURL
    3. ソフトウェア製品の問合せ先が記載されているウェブページのURL
    4. 申込者の氏名、所属、連絡先電子メールアドレス

(4)ソフトウェア製品開発者のメリット

 製品開発者は、この仕組みを利用すると、製品利用者へJVN iPediaを活用して広く脆弱性対策を促すことができます。また、IPAがこの脆弱性対策情報を英語に翻訳し、英語版JVN iPediaへ登録しますので、海外の製品利用者へも脆弱性対策を促すことができます。

 JVN iPediaのアクセス数は3月に月間40万件となっており、国内で最大の脆弱性対策情報データベースとして広く活用されています。製品開発者の脆弱性対策情報の公表手段として活用されることを期待します。

1.脆弱性対策情報の登録状況

1.1 広く知れ渡っている種類の脆弱性対策情報が数多く公開されています

 図3は、JVN iPediaへ今四半期に登録した脆弱性対策情報を、CWE(*4)(共通脆弱性タイプ一覧:Common Weakness Enumeration)で分類した、脆弱性の種類ごとの件数です。

 件数が多い脆弱性の種類は、CWE-399(リソース管理の問題)が56件、CWE-119(バッファエラー)が37件、CWE-264(認可・権限・アクセス制御の脆弱性)が32件、CWE-189(数値処理の問題)が21件、CWE-79(クロスサイト・スクリプティング)が19件、CWE-20(不十分な入力確認)が15件、CWE-200(情報漏えい)が14件、CWE-94(コード・インジェクション)が9件、などとなっています。

 これらは広く知れ渡っている脆弱性の種類です。製品開発者は、これらの脆弱性に関してIPAが公開している「安全なウェブサイトの作り方(*5)」や「セキュア・プログラミング講座(*6)」などを参考に、ソフトウェア製品の企画・設計段階から情報セキュリティを考慮する必要があります。

図3. 2009年第1四半期に登録した脆弱性の種類

1.2 JVN iPediaに登録済みの脆弱性の深刻度

 図4にJVN iPediaに登録済みの脆弱性について、製品開発者やセキュリティポータルサイト等が脆弱性対策情報を公開した日を基にした、脆弱性の深刻度の公開年別推移を示します。2004年以降、脆弱性対策情報の公開が急増しており、2008年まで増加傾向となっています。

 JVN iPediaでは、共通脆弱性評価システムCVSS(*7)により、それぞれの脆弱性の深刻度(*8)を公表しています。2008年は、レベルIII(危険、CVSS基本値=7.0~10.0)が44%、レベルII(警告、CVSS基本値=4.0~6.9)が44%、レベルI(注意、CVSS基本値=0.0~3.9)が12%となっています。

 深刻度の高い脆弱性が多数公開されていることから、製品利用者は情報を日々収集し、製品のバージョンアップやセキュリティ対策パッチの適用などを遅滞なく行うことが必要です。

図4.脆弱性の深刻度の公開年別推移

1.3 JVN iPediaにて脆弱性対策情報を公表した製品の種類

 図5にJVN iPediaに登録済みの脆弱性について、ソフトウェア製品の種類の公開年別推移を示します。

 Internet Explorer、Firefox、Microsoft Officeなどのデスクトップアプリケーションや、Webサーバ、アプリケーションサーバ、データベースなどのミドルウェア、また、PHP、Java、GNUライブラリなどの開発・運用系など、アプリケーション・ソフトウェアの脆弱性対策情報の公開が年々増加しています。毎年、数多くのアプリケーションが新しく開発され、それらのアプリケーションにおいて脆弱性が発見されており、アプリケーション・ソフトウェアのセキュリティ対策は特に重要となっています。

 Windows、Mac OS、UNIX、LinuxなどのOSに関しては、2005年頃までは脆弱性の公開件数が増加傾向にありましたが、2005年以降は公開件数が減少しています。OSに関しては、毎年脆弱性は発見されるものの、後継製品での脆弱性対策が迅速に施されているようです。

 2005年頃から、ネットワーク機器、携帯電話、DVDレコーダなどの情報家電など、組込みソフトウェアの脆弱性の対策情報が徐々に公開されています。

図5.脆弱性対策情報を公表した製品の種類の公開年別推移

1.4 オープンソースソフトウェアの割合

 図6にJVN iPediaに登録済みの脆弱性について、オープンソースソフトウェア(OSS)とOSS以外のソフトウェアの公開年別推移を示します。その割合は全体でOSSが32%、OSS以外が68%となっています。OSSの割合の年別推移を見ると、1998年から2003年までは上昇傾向でしたが、2003年をピークに、その後は低下傾向となっています。

図6.オープンソースソフトウェア(OSS)とOSS以外の公開年別推移

1.5 ソフトウェア製品の開発者(ベンダ)の内訳

 JVN iPediaに登録済みのソフトウェア製品の開発者(ベンダー)に関して、図7にOSSのベンダーの内訳、図8にOSS以外のベンダーの内訳を示します。

 OSSは、国内ベンダーが54、海外ベンダー(日本法人有り)が21、海外ベンダー(日本法人無し)が176、合計251ベンダーとなっています(図7)。また、OSS以外は、国内ベンダーが95、海外ベンダー(日本法人有り)が48、海外ベンダー(日本法人無し)が33、合計176ベンダーとなっています(図8)。

 OSSに関しては、日本法人の無い海外ベンダーの脆弱性対策情報が数多く登録されています。OSSを利用する場合、製品のバージョンアップやセキュリティパッチの適用などのノウハウを持たない製品利用者は、製品のサポートサービスの活用、保守契約上の取り決め等の考慮が必要です。

図7.OSSのベンダーの内訳、図8.OSS以外のベンダーの内訳

2.脆弱性対策情報の活用状況

 表2は今四半期にアクセスの多かったJVN iPediaの脆弱性対策情報を、アクセス数の多い順番に上位20件まで示しています。Becky! Internet Mail、Apache Tomcat、PHPおよびPHPを使用した製品など、よく使用されている製品で、近年公開された情報に多数のアクセスがありました。

 なお、DNS実装やウイルスセキュリティ、Apache Tomcat、Lhaplusなどは、脆弱性対策情報の公開から時間が経過してもアクセス数が高く、利用者が注目している情報となっています。

 表3は国内の製品開発者から収集した脆弱性対策情報に関して、アクセス数上位5件を示しています。

表2.JVN iPediaの脆弱性対策情報のアクセス数上位20件

#

ID

タイトル

アクセス

CVSS
基本値

公開日

1

JVNDB-2009-000011

Becky! Internet Mailにおけるバッファオーバーフローの脆弱性

3,232

6.8

2009/2/12

2

JVNDB-2008-001495

複数のDNS実装にキャッシュポイズニングの脆弱性

2,636

6.4

2008/7/9

3

JVNDB-2009-000010

Apache Tomcatにおける情報漏えいの脆弱性

2,184

2.6

2009/2/26

4

JVNDB-2008-000050

ウイルスセキュリティおよびウイルスセキュリティZEROにおけるサービス運用妨害(DoS)の脆弱性

1,835

4.3

2008/8/12

5

JVNDB-2009-000008

futomi's CGI Cafe製全文検索CGIにおける管理者権限奪取の脆弱性

1,177

7.5

2009/1/23

6

JVNDB-2009-000006

Cisco IOSにおけるクロスサイトスクリプティングの脆弱性

1,170

4.3

2009/1/15

7

JVNDB-2009-000007

Oracle Web Logic Serverにおけるクロスサイトスクリプティングの脆弱性

1,074

2.6

2009/1/20

8

JVNDB-2008-000084

PHPにおけるクロスサイトスクリプティングの脆弱性

923

2.6

2008/12/19

9

JVNDB-2009-000005

MODxにおけるSQLインジェクションの脆弱性

865

5.1

2009/1/9

10

JVNDB-2007-001017

Apache HTTP Serverの413エラーメッセージにおけるHTTPメソッドを適切に検査しない問題

846

4.3

2007/12/3

11

JVNDB-2009-000012

ソニー製ネットワークカメラSNCシリーズのActiveXコントロールにおけるバッファオーバーフローの脆弱性

761

6.8

2009/2/23

12

JVNDB-2008-000009

Apache Tomcatにおいて不正なCookieを送信される脆弱性

755

4.3

2008/2/12

13

JVNDB-2009-000009

FAST ESPにおけるクロスサイトスクリプティングの脆弱性

753

2.6

2009/2/10

14

JVNDB-2009-000003

MODxにおけるクロスサイトスクリプティングの脆弱性

726

4.3

2009/1/9

15

JVNDB-2009-000001

MyNETSにおけるクロスサイトスクリプティングの脆弱性

721

3.5

2009/1/7

16

JVNDB-2008-000086

Black Jumbo Dogにおける認証回避の脆弱性

721

5.0

2008/12/25

17

JVNDB-2009-000013

PEAK XOOPS製piCalにおけるクロスサイトスクリプティングの脆弱性

720

4.3

2009/2/25

18

JVNDB-2008-000022

Lhaplusにおけるバッファオーバーフローの脆弱性

682

6.8

2008/4/28

19

JVNDB-2009-000002

Movable Type Enterpriseにおけるクロスサイトスクリプティングの脆弱性

672

4.3

2009/1/8

20

JVNDB-2009-000014

futomi's CGI Cafe製MP Form Mail CGIにおける管理者権限奪取の脆弱性

660

7.5

2009/3/10

表3.国内の製品開発者から収集した脆弱性対策情報の中のアクセス数上位5件

#

ID

タイトル

アクセス

CVSS
基本値

公開日

1

JVNDB-2008-001150

JP1/秘文の暗号化/復号機能および持ち出し制御機能における正しく動作が行われない問題

603

3.6

2008/2/27

2

JVNDB-2008-001313

JP1/Cm2/Network Node Managerにおけるサービス運用妨害(DoS)の脆弱性

377

5.0

2008/4/4

3

JVNDB-2008-001647

JasmineのWebLinkテンプレート実行時における複数の脆弱性

360

7.5

2008/8/14

4

JVNDB-2008-001911

Groupmax Workflow - Development Kit for Active Server Pagesにおけるクロスサイトスクリプティングの脆弱性

340

5.0

2008/10/31

5

JVNDB-2008-001895

JP1/VERITAS NetBackupのJAVA Administration GUIにおける特権昇格の脆弱性

312

6.5

2008/10/24

注1)CVSS基本値の深刻度による色分け

CVSS基本値=0.0~3.9
深刻度=レベルI(注意)

CVSS基本値=4.0~6.9
深刻度=レベルII(警告)

CVSS基本値=7.0~10.0
深刻度=レベルIII(危険)

 

注2)公開日の四半期による色分け

2008年2Q公開

2008年3Q公開

2008年4Q公開

2009年1Q公開

脚注

(*1)Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/

(*2)National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
http://www.nist.gov/

(*3)National Vulnerability Database。NISTが運営する脆弱性データベース。
http://nvd.nist.gov/home.cfm

(*4)「共通脆弱性タイプ一覧CWE概説」を参照下さい。
http://www.ipa.go.jp/security/vuln/CWE.html

(*5)安全なウェブサイトの作り方。
http://www.ipa.go.jp/security/vuln/websecurity.html

(*6)セキュア・プログラミング講座。
http://www.ipa.go.jp/security/awareness/vendor/programmingv2/index.html

(*7)共通脆弱性評価システムCVSS v2概説。
http://www.ipa.go.jp/security/vuln/SeverityCVSS2.html

(*8)脆弱性の深刻度評価の新バージョンCVSS v2への移行について。CVSS(Common Vulnerability Scoring System、共通脆弱性評価システム)。
http://www.ipa.go.jp/security/vuln/SeverityLevel2.html

資料のダウンロード

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター 山岸/渡辺

Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。