脆弱性対策情報データベースJVN iPediaの登録状況[2011年第2四半期（4月～6月）]

1. 2011年 第2四半期 脆弱性対策情報データベース JVN iPediaの登録状況（総括）

　脆弱性対策情報データベース「JVN iPedia（ http://jvndb.jvn.jp/ ）」は、日本国内で使用されているソフトウェアの脆弱性対策情報を収集・公開することにより、脆弱性関連情報を容易に利用可能とすることを目指しています。1）国内のソフトウェア開発者が公開した脆弱性対策情報、2）脆弱性対策情報ポータルサイトJVN^(*1)で公表した脆弱性対策情報、3）米国国立標準技術研究所NIST^(*2)の脆弱性データベース「NVD^(*3)」が公開した脆弱性対策情報の中から情報を収集、翻訳し、2007年4月25日から公開しています。

1.1 脆弱性対策情報の登録状況

～脆弱性対策情報の登録件数が累計10,800件を突破～

　2011年第2四半期（2011年4月1日から6月30日まで）にJVN iPedia日本語版へ登録した脆弱性対策情報は、国内製品開発者から収集したもの5件（公開開始からの累計は123件）、JVNから収集したもの125件（累計1,241件）、NVDから収集したもの508件（累計9,485件）、合計638件（累計10,849件）でした。脆弱性対策情報の登録件数が、累計10,800件を突破しました（表1、図1）。

　JVN iPedia日本語版では、米国のNVDなどから制御システムのソフトウェアに関する脆弱性対策情報の収集を積極的に進めています。2011年の上期（2011年1月1日から6月30日）には、22件登録されています。昨年、制御システムを標的とするウイルス「Stuxnet^(*4)」が問題となりました。その後も制御システムの脆弱性のニュースが多数取り上げられており、社会インフラに対する影響を考えると、今後注視していく必要があります。

　JVN iPedia英語版は、国内製品開発者から収集したものが6件（累計123件）、JVNから収集したものが26件（累計531件）、合計32件（累計654件）でした。

1.2 登録している脆弱性対策情報に関する注目情報（その1）

～ウェブシステムを構成するソフトウェアに多数の脆弱性が存在。脆弱性対策情報を参照し、速やかなバージョンアップを～

　最近、インターネット経由で利用するサービスを提供するシステム（ウェブシステム）の脆弱性を悪用したサイバー攻撃が国内外で頻発しており、直近では、1億件を超える個人情報が流出したことで社会的にも大きな話題になりました。

　一般的なウェブシステムの多くは、「ウェブ三層アプリケーション（ウェブサーバー、ウェブアプリケーションサーバー、データベースサーバー）」と呼ばれる構成で設計されています。JVN iPediaでは、これらを構成するソフトウェアの脆弱性対策情報を多数登録しています。

　図2は、JVN iPediaに登録済みの脆弱性対策情報について、ウェブ三層アプリケーションの種類別件数の年別推移を示したものです。2006年に、データベースサーバー、ウェブアプリケーションサーバーの脆弱性対策情報件数が前年の倍近くに増加し、その後200件前後で推移しています。

　図3から図5は、ウェブ三層アプリケーションを構成する各ソフトウェアの脆弱性対策情報の登録件数と深刻度の割合を示しています。JVN iPediaでは、共通脆弱性評価システムCVSS^(*5)により、それぞれの脆弱性の深刻度^(*6)も合わせて公開しています。

　図3は、ウェブ三層アプリケーションのうち、ウェブサーバーについて、脆弱性対策情報の登録件数と深刻度の割合を示したものです。Apache HTTP Serverに関するものが106件で、全件数305件の35%を占めています。深刻度別の件数を集計すると、レベルIII（危険、CVSS基本値=7.0～10.0）が32%、レベルII（警告、CVSS基本値=4.0～6.9）が67%、レベルI（注意、CVSS基本値=0.0～3.9）が1%となっています。

　図4は、ウェブ三層アプリケーションのうち、ウェブアプリケーションサーバーについて、脆弱性対策情報の登録件数と深刻度の割合を示したものです。Oracle Application ServerとIBM WebSphere Application Serverに関するものが、合わせて376件で、全件数511件の74%を占めています。深刻度別の件数を集計すると、レベルIII（危険、CVSS基本値=7.0～10.0）が40%、レベルII（警告、CVSS基本値=4.0～6.9）が52%、レベルI（注意、CVSS基本値=0.0～3.9）が8%となっています。

　図5は、ウェブ三層アプリケーションのうち、データベースサーバーについて、脆弱性対策情報の登録件数と深刻度の割合を示したものです。Oracle Databaseに関するものが331件で、全件数561件の59%を占めています。深刻度別の件数を集計すると、レベルIII（危険、CVSS基本値=7.0～10.0）が40%、レベルII（警告、CVSS基本値=4.0～6.9）が50%、レベルI（注意、CVSS基本値=0.0～3.9）が10%となっています。

　昨今、ウェブシステムの脆弱性を悪用した攻撃により、データ流出などの被害が発生しています。サーバー管理者は、ウェブサイトで使用しているサーバーソフトウェアに関する脆弱性情報の収集と、ソフトウェアのバージョンアップ等を遅滞なく行ってください。

1.3 登録している脆弱性対策情報に関する注目情報（その2）

～Adobe Flash Player の脆弱性対策情報の公開件数の増加が際立っています～

　JVN iPediaでは、Adobe Flash Playerの脆弱性対策情報を累計で182件登録しています。特に、ウェブページを閲覧しただけで悪意のあるプログラムがインストールされる、データの変更・削除等が行われるといった深刻度の高い脆弱性が95件含まれています。図6は、JVN iPedia における Adobe Flash Player の脆弱性対策情報の登録件数と深刻度の割合を示しており、登録件数は、年々増加しています。深刻度別の件数を集計するとレベルIII（危険、CVSS基本値=7.0～10.0）が73%、レベルII（警告、CVSS基本値=4.0～6.9）が12%、レベルI（注意、CVSS基本値=0.0～3.9）が15%となっており、深刻度が高い脆弱性対策情報が多く登録されています。

　図7は、Adobe Flash Playerのセキュリティアップデートリリース件数の四半期別推移を示しています。深刻度の高い脆弱性対策情報の増加に伴って、セキュリティアップデートの回数も増加しています。

　2011年第1四半期（2011年1月1日から3月31日）までは、四半期あたりのリリース件数は2件程度で推移していましたが、今四半期は4件と倍増しています。

　このような状況において、PC利用者は迅速な情報確認とバージョンアップを行う必要があります。IPA では、パソコンにインストールされているソフトウェア製品が最新のバージョンであるかを確認するツールとして、「MyJVN バージョンチェッカ」を提供しています。「MyJVN バージョンチェッカ」が広く活用され、脆弱性対策の促進につながることを期待しています。

2. 2011年 第2四半期 脆弱性対策情報データベース JVN iPediaの登録状況（詳細）

2.1 脆弱性対策情報の登録状況

2.1.1 今四半期に登録した脆弱性の種類別件数

　共通脆弱性タイプ一覧CWE^(*7)は、脆弱性の種類を識別するための共通の脆弱性タイプの一覧です。
CWEを用いると、ソフトウェアの多種多様にわたる脆弱性に関して、脆弱性の種類（脆弱性タイプ）の識別や分析、国内外での比較などが可能になります。図8のグラフは、JVN iPediaへ今四半期に登録した脆弱性対策情報を、CWEで分類した、脆弱性の種類ごとの件数を示したものです。

　件数が多い脆弱性は、CWE-119（バッファエラー）が106件、CWE-399（リソース管理の問題）が72件、CWE-20（不適切な入力確認）が57件、CWE-264（認可・権限・アクセス制御の問題）が34件、CWE-189（数値処理の問題）が32件、CWE-79（クロスサイト・スクリプティング）が27件、CWE-200（情報漏えい）が16件、などとなっています。

　これらは広く認知されている脆弱性の種類です。製品開発者は、これらの脆弱性に関してIPAが公開している「セキュア・プログラミング講座^(*8)」などを参考に、ソフトウェアの企画・設計段階からセキュリティ実装を考慮する必要があります。なお、実習形式による脆弱性体験学習ツール「AppGoat」^(*9)でも効果的な学習が可能です。

2.1.2 脆弱性に関する年別の深刻度別割合

　図9のグラフはJVN iPediaに登録済みの脆弱性対策情報について、製品開発者やセキュリティポータルサイト等が脆弱性の対策情報を公表した日を基にした、脆弱性の深刻度別の件数の公表年別推移を示したものです。2008年以降はレベルIII（危険、CVSS基本値=7.0～10.0）の割合が増加傾向にあり、2010年は50%、2011年は52%を超える割合になっています。

　公開開始から2011年6月30日までの割合は、レベルIII（危険、CVSS基本値=7.0～10.0）が47%、レベルII（警告、CVSS基本値=4.0～6.9）が45%、レベルI（注意、CVSS基本値=0.0～3.9）が8%となっています。

　深刻度の高い脆弱性が多数公開されていることから、製品利用者は情報を日々収集し、製品のバージョンアップやセキュリティ対策パッチの適用などを遅滞なく行うことが必要です。

2.1.3 脆弱性対策情報を公表した製品の種類別件数

　図10のグラフはJVN iPediaに登録済みの脆弱性対策情報について、その製品の種類別件数の公表年別推移を示したものです。Adobe Reader、Adobe Flash Player、Safari、Internet Explorer、Firefoxなどのデスクトップアプリケーションや、ウェブサーバー、アプリケーションサーバー、データベースなどのミドルウェア、また、PHP、Javaなどの開発言語といったアプリケーションの脆弱性対策情報の公開が年々増加しています。毎年、数多くのアプリケーションが新しく開発され、それらにおいて脆弱性が発見されており、アプリケーションのセキュリティ対策は重要度を増しています。製品利用者は脆弱性対策情報を日々収集し、バージョンアップやセキュリティ対策パッチの適用などを遅滞なく行うことが必要です。

2.1.4 オープンソースソフトウェアの割合

　図11のグラフはJVN iPediaに登録済みの脆弱性対策情報について、オープンソースソフトウェア（OSS）とOSS以外のソフトウェアの公表年別推移を示したものです。OSSの割合の年別推移を見ると、近年では2008年以降のOSSの割合が減少傾向となっており、2011年では20%の割合になっています。全体件数から見た割合は、OSSが32%、OSS以外が68%となっています。

2.1.5 ソフトウェアの開発者（ベンダー）の内訳

　図12、図13のグラフは、JVN iPediaに登録済みのソフトウェアの開発者（ベンダー）に関して、OSSのベンダーの内訳とOSS以外のベンダーの内訳をそれぞれ示したものです。

　OSSは、国内ベンダーが66、海外ベンダー（日本法人有り）が24、海外ベンダー（日本法人無し）が245、合計335ベンダーとなっています。OSS以外は、国内ベンダーが123、海外ベンダー（日本法人有り）が78、海外ベンダー（日本法人無し）が65 、合計266ベンダーとなっています。

　OSSに関しては、日本法人の無い海外ベンダーの脆弱性対策情報が数多く登録されています。OSSを利用する場合、製品のバージョンアップやセキュリティパッチの適用などのノウハウを持たない製品利用者は、製品のサポートサービスの活用、保守契約上の取り決め等の考慮が必要です。

2.2 脆弱性対策情報の活用状況

　JVN iPediaのアクセス数は、2010年7月～2011年6月の1年間で1,643万件となっており、月平均で約140 万件のアクセスがあります。

　表2は2011年第2四半期（4月～6月）にアクセスの多かったJVN iPediaの脆弱性対策情報を、アクセス数の多い順に上位20件まで示しています。20件中14件がJVNから公表された脆弱性対策情報です。

　表3は国内の製品開発者から収集した脆弱性対策情報のアクセス数上位5件を示しています。

注1）CVSS基本値の深刻度による色分け

注2）公開日の年による色分け

脚注

資料のダウンロード

参考情報

本件に関するお問い合わせ先