HOME情報セキュリティ情報セキュリティ対策脆弱性対策脆弱性対策情報データベースJVN iPediaの登録状況[2012年第1四半期(1月~3月)]

本文を印刷する

情報セキュリティ

脆弱性対策情報データベースJVN iPediaの登録状況[2012年第1四半期(1月~3月)]

掲載日 2012年4月19日
独立行政法人情報処理推進機構
>> ENGLISH

1. 2012年 第1四半期 脆弱性対策情報データベース JVN iPediaの登録状況(総括)

 脆弱性対策情報データベース「JVN iPedia(http://jvndb.jvn.jp/)」は、国内外で使用されているソフトウェアの脆弱性対策情報を収集・公開することにより、脆弱性関連情報を容易に利用可能とすることを目指しています。1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情報ポータルサイトJVN(*1)で公表した脆弱性対策情報、3)米国国立標準技術研究所NIST(*2)の脆弱性データベース「NVD(*3)」が公開した脆弱性対策情報の中から情報を収集、翻訳し、2007年4月25日から公開しています。

1.1 脆弱性対策情報の登録状況

~脆弱性対策情報の登録件数が累計15,000件を突破~

 2012年第1四半期(2012年1月1日から3月31日まで)にJVN iPedia日本語版へ登録した脆弱性対策情報は、国内製品開発者から収集したもの5件(公開開始からの累計は132件)、JVNから収集したもの165件(累計1,735件)、NVDから収集したもの3,034件(累計14,027件)、合計3,204件(累計15,894件)となりました。脆弱性対策情報の登録件数が、累計15,000件を突破しました(表1、図1)。

 JVN iPedia英語版は、国内製品開発者から収集したものが6件(累計131件)、JVNから収集したものが26件(累計621件)、合計32件(累計752件)でした。

表1.2012年第1四半期の登録件数
  情報の収集元 登録件数 累計件数
日本語版 国内製品開発者 5 132
JVN 165 1,735
NVD 3,034 14,027
3,204 15,894
英語版 国内製品開発者 6 131
JVN 26 621
32 752

図1. JVN iPediaの登録件数の四半期別推移

 IPAでは、システム管理者が脆弱性対策に活用できるように、JVN iPediaに登録されている脆弱性対策情報の拡充を行っています。2011年第4四半期からは、NVDから日々公開される全ての脆弱性対策情報を一両日のうちに翻訳・公開しています。また今回、前四半期と比べて登録件数が大幅に増加した理由は、過去にNVDにて公開され、JVN iPediaに未反映であった2,000件のデータを登録したためです。

 対象製品を拡大したことにより、システム管理者が、より幅広い脆弱性対策情報を取得できるようになります。

 IPAでは、今後も最新の脆弱性対策情報の公開とは別に、過去に公開されたNVDの情報を翻訳・公開する予定です。それにより、脆弱性対策情報の累積件数は、2012年中に35,000件に到達する見込みです。

1.2 登録している脆弱性対策情報に関する注目情報(その1)

スマートフォン上で稼働するソフトウェアの脆弱性対策情報が多数登録。速やかなバージョンアップを

 近年、スマートフォンの利用者数は増加傾向にあり、利用者数に比例するようにスマートフォンに関する脆弱性も多数報告されています。図2は、スマートフォン上で稼働するソフトウェア(OSやアプリケーション)のプラットフォーム別のJVN iPediaへの登録件数の年別推移です。年々登録件数は増加しており、2012年第1四半期だけで127件の登録がありました。2011年と比較して、3倍以上のペースで脆弱性対策情報が登録されています。

図2. スマートフォン上で稼働するソフトウェアのOS別脆弱性対策情報登録件数の年別推移

 図3は、スマートフォン上で稼働するソフトウェアの製品区分別の脆弱性対策情報登録件数の年別推移です。2011年の後半からアプリケーションに関する脆弱性対策情報の割合が増えてきており、2012年第1四半期には60件の登録がありました。なお、この60件は全てAndroid OS上で稼働するアプリケーションについての脆弱性対策情報でした。

図3. スマートフォン上で稼働するソフトウェアの製品区分別脆弱性対策情報登録件数の年別推移

 JVN iPediaでは、共通脆弱性評価システムCVSS(*4)により、それぞれの脆弱性の深刻度(*5)を公開しています。図4は、スマートフォン上で稼働するソフトウェアの脆弱性に関する年別の深刻度別割合を集計したものです。深刻度レベルIII(危険、CVSS基本値=7.0~10.0)の脆弱性対策情報が326件登録されており、全体の61%を占めています。

図4. スマートフォン上で稼働するソフトウェア脆弱性に関する年別の深刻度別割合

 深刻度の高い脆弱性が多数登録されています。スマートフォンの利用者は、パソコンと同様に速やかな対応を検討してください。なお、スマートフォンの安全な使い方については、IPAが提供している資料(*6)を参考にしてください。

1.3 登録している脆弱性対策情報に関する注目情報(その2)

産業用制御システムに関する脆弱性対策情報が年々増加

 近年、工場の生産設備等で使用される監視モニタ等の産業用制御システム(ICS:Industrial Control Systems)に関するソフトウェアの脆弱性対策情報が増加しています。

 図5は、JVN iPedia における産業用制御システムに関するソフトウェアの脆弱性対策情報の、登録件数と深刻度の割合を示しています。2011年の登録件数は72件で、2010年と比較して約3.5倍に増加しており、2012年も増加の傾向にあります。

図5. 産業用制御システムに関するソフトウェアの脆弱性件数と深刻度割合の年別推移

 図6、図7のグラフは、JVN iPediaに登録済みの脆弱性対策情報に関して、産業用制御システム系のソフトウェアと全体の深刻度の割合をそれぞれ示したものです。産業用制御システム系の深刻度の割合は、レベルIII(危険、CVSS基本値=7.0~10.0)が67%、レベルII(警告、CVSS基本値=4.0~6.9)が31%、レベルI(注意、CVSS基本値=0.0~3.9)が2%となっており、ソフトウェア全体と比較して、深刻度の高い脆弱性対策情報が多く登録されています。

(左)図6. 深刻度の割合(産業用制御システム)、(右)図7. 深刻度の割合(全体)

 図8は、産業用制御システムに関するソフトウェアの脆弱性対策情報を、CWE(*7)のタイプ別に分類した件数を示したものです。任意コードの実行などの重大な脅威につながるCWE-119(バッファーエラー)の件数の割合が全体の58%を占めています。

図8. 産業用制御システムを構成するソフトウェアの脆弱性の種類別件数

 産業用制御システムの利用者は、脆弱性対策情報を定期的に収集し、利用している製品に脆弱性が存在する場合、開発元や販売元にバージョンアップ等の対策方法の有無を確認し、対策が存在する場合は速やかな対応を検討してください。直ちに対策が困難な場合は、産業用制御システムが設置されているネットワーク等の利用環境やリスクを評価し、その改善や対策を図るなどの対応を検討してください。(*8)

2. 2012年 第1四半期 脆弱性対策情報データベース JVN iPediaの登録状況(詳細)

2.1 脆弱性対策情報の登録状況

2.1.1 2012年第1四半期に登録した脆弱性の種類別件数

  図9のグラフは、JVN iPediaへ2012年第1四半期に登録した脆弱性対策情報を、CWEのタイプ別に分類した件数を示したものです。

 件数が多い脆弱性は、CWE-79(クロスサイト・スクリプティング)が499件、CWE-119(バッファエラー)が324件、CWE-264(認可・権限・アクセス制御の問題)が289件、CWE-89(SQLインジェクション)が270件、CWE-200(情報漏洩)が261件、CWE-20(不適切な入力確認)が224件、などとなっています。

 これらは広く認知されている脆弱性の種類です。製品開発者は、これらの脆弱性に関してIPAが公開している「セキュア・プログラミング講座(*9)」などを参考に、ソフトウェアの企画・設計段階から必要なセキュリティ対策を講じる必要があります。なお、実習形式による脆弱性体験学習ツール「AppGoat」(*10)でも効果的な学習が可能です。

図9. 2012年第1四半期に登録した脆弱性の種類別件数

2.1.2 脆弱性に関する年別の深刻度別割合

 図10のグラフはJVN iPediaに登録済みの脆弱性対策情報について、脆弱性の深刻度別の件数の公表年別推移を示したものです。

 2012年3月31日までにJVN iPediaに登録済みの脆弱性対策情報の深刻度別割合は、レベルIII(危険、CVSS基本値=7.0~10.0)が44%、レベルII(警告、CVSS基本値=4.0~6.9)が48%、レベルI(注意、CVSS基本値=0.0~3.9)が8%となっています。

 深刻度の高い脆弱性が多数登録されていることから、製品利用者は情報を日々収集し、製品のバージョンアップやセキュリティ対策パッチの適用などを速やかに行うことが重要です。

図10. 脆弱性に関する年別の深刻度別割合

2.1.3 脆弱性対策情報を公表した製品の種類別件数

 図11のグラフはJVN iPediaに登録済みの脆弱性対策情報について、その製品の種類別件数の公表年別推移を示したものです。2011年第4四半期から、NVDから日々公開される全ての脆弱性対策情報を登録対象としたこともあり、アプリケーションの脆弱性対策情報の登録が増加しています。2010年の2,322件に対し、2011年には3,627件と約1.6倍の件数となり、2012年も同じ傾向になっています。

 2008年頃からは、重要インフラなどで利用される、産業用制御システムの脆弱性対策情報が登録されています。2008年分として8件、2009年分は10件、2010年分は21件、2011年分は72 件、2012年分は57件、合計168件の産業用制御システムに関する脆弱性対策情報を登録しています。

 毎年、数多くのアプリケーションが新しく開発され、それらにおいて脆弱性が発見されており、アプリケーションのセキュリティ対策は重要度を増しています。製品利用者は脆弱性対策情報を日々収集し、バージョンアップやセキュリティ対策パッチの適用などを速やかに行うことが重要です。

図11. 脆弱性対策情報を公表した製品の種類別件数の公開年別推移

2.1.4 オープンソースソフトウェアの割合

 図12のグラフはJVN iPediaに登録済みの脆弱性対策情報について、オープンソースソフトウェア(OSS)とOSS以外のソフトウェアの公表年別推移を示したものです。OSSの割合の年別推移を見ると、近年では2008年以降のOSSの割合が減少傾向となっていましたが、2011年には1,460件のOSSを登録しており、2010年の30%から35%に増加しました。こちらも、NVDから日々公開される全ての脆弱性対策情報を登録対象としたことが一因であると考えられます。全体件数から見た割合は、OSSが34%、OSS以外が66%となっています。

図12. オープンソースソフトウェア(OSS)とOSS以外の公開年別推移

2.1.5 製品開発者(ベンダー)の内訳

 図13、図14のグラフは、JVN iPediaに登録済みの製品開発者(ベンダー)に関して、OSSのベンダーの内訳とOSS以外のベンダーの内訳をそれぞれ示したものです。

 OSSベンダーの内訳は、国内ベンダーが75、海外ベンダー(日本法人有り)が36、海外ベンダー(日本法人無し)が829、合計940ベンダーとなっています。OSS以外は、国内ベンダーが136、海外ベンダー(日本法人有り)が124、海外ベンダー(日本法人無し)が510 、合計770ベンダーとなっています。

 OSSに関しては、日本法人の無い海外ベンダーの脆弱性対策情報が数多く登録されています。OSSを利用する場合、製品のバージョンアップやセキュリティパッチの適用などのノウハウを持たない製品利用者は、製品のサポートサービスの活用、保守契約上の取り決め等の考慮が必要です。

(左)図13. OSSのベンダーの内訳、(右)図14. OSS以外のベンダーの内訳

2.2 脆弱性対策情報の活用状況

 表2は2012年第1四半期(1月~3月)にアクセスの多かったJVN iPediaの脆弱性対策情報を、アクセス数の多い順に上位20件まで示しています。

 表3は国内の製品開発者から収集した脆弱性対策情報のアクセス数上位5件を示しています。

表2. JVN iPediaの脆弱性対策情報のアクセス数上位20件
[2012年1月~2012年3月]
# ID タイトル アクセス
CVSS
基本値
公開日
1 JVNDB-2012-001195 Horde IMP および Horde Groupware Webmail Edition におけるクロスサイトスクリプティングの脆弱性 10,215 4.3 2012/1/27
2 JVNDB-2012-001197 Horde Groupware Webmail Edition におけるクロスサイトスクリプティングの脆弱性 10,123 4.3 2012/1/27
3 JVNDB-2012-001003 Apache Tomcat におけるサービス運用妨害 (CPU 資源の消費) の脆弱性 2,106 5.0 2012/1/6
4 JVNDB-2012-001810 Android用 NetFront Life Browser アプリケーションにおける詳細不明な脆弱性 2,020 10.0 2012/3/19
5 JVNDB-2011-002305 SSL と TLS の CBC モードに選択平文攻撃の脆弱性 1,503 4.3 2011/10/4
6 JVNDB-2012-000014 複数のクックパッド製 Android アプリケーションにおける WebView クラスに関する脆弱性 1,500 2.6 2012/2/22
7 JVNDB-2011-002172 Apache HTTPD サーバにサービス運用妨害 (DoS) の脆弱性 1,281 7.8 2011/9/1
8 JVNDB-2011-003565 PHP におけるサービス運用妨害 (CPU 資源の消費) の脆弱性 1,272 5.0 2012/1/4
9 JVNDB-2012-000024 twicca におけるアクセス制限不備の脆弱性 1,188 2.6 2012/3/13
10 JVNDB-2011-000110 WordPress 日本語版におけるクロスサイトスクリプティングの脆弱性 1,188 4.3 2011/12/26
11 JVNDB-2011-003563 Ruby におけるサービス運用妨害 (CPU 資源の消費) の脆弱性 1,141 7.8 2012/1/4
12 JVNDB-2012-001258 Apache HTTP Server の protocol.c における HTTPOnly cookies の値を取得される脆弱性 1,112 4.3 2012/2/1
13 JVNDB-2011-000109 WordPress において任意の PHP コードが実行可能な脆弱性 1,049 6.5 2011/12/26
14 JVNDB-2011-003560 Microsoft .NET Framework におけるサービス運用妨害 (CPU 資源の消費) の脆弱性 1,022 7.8 2012/1/4
15 JVNDB-2012-000025 Redmine におけるクロスサイトスクリプティングの脆弱性 916 4.0 2012/3/13
16 JVNDB-2012-000012 Apache Struts 2 における任意の Java メソッド実行の脆弱性 903 6.8 2012/2/10
17 JVNDB-2012-001323 PHP の php_variables.c 内のphp_register_variable_ex 関数における任意のコードを実行される脆弱性 886 7.5 2012/2/8
18 JVNDB-2012-001355 複数の DNS ネームサーバの実装に問題 858 5.0 2012/2/10
19 JVNDB-2012-000007 Oracle WebLogic Server におけるクロスサイトスクリプティングの脆弱性 851 2.6 2012/1/20
20 JVNDB-2012-001018 OpenSSL におけるメモリ二重開放の脆弱性805 9.3 2012/1/10
表3. 国内の製品開発者から収集した脆弱性対策情報のアクセス数上位5件
[2012年1月~2012年3月]
# ID タイトル アクセス
CVSS
基本値
公開日
1 JVNDB-2011-003295 JP1/Cm2/Network Node Manager i におけるサービス運用妨害 (DoS) の脆弱性 197 7.8 2011/12/9
2 JVNDB-2008-001647 Jasmine の WebLink テンプレート実行時における複数の脆弱性 161 7.5 2008/9/10
3 JVNDB-2008-001150 JP1/秘文の暗号化/復号機能および持ち出し制御機能における正しく動作が行われない問題 129 3.6 2008/3/14
4 JVNDB-2010-002807 Accela BizSearch の標準検索画面におけるクロスサイトスクリプティングの脆弱性117 4.3 2011/5/26
5 JVNDB-2011-001927 HiRDB Control Manager - Agent における任意のコマンドを実行される脆弱性 117 10.0 2011/7/26

注1)CVSS基本値の深刻度による色分け

CVSS基本値=0.0~3.9
深刻度=レベルI(注意)
CVSS基本値=4.0~6.9
深刻度=レベルII(警告)
CVSS基本値=7.0~10.0
深刻度=レベルIII(危険)

注2)公開日の年による色分け

2010年以前の公開 2011年の公開 2012年の公開

脚注

(*1) Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/

(*2)National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
http://www.nist.gov/

(*3)National Vulnerability Database。NISTが運営する脆弱性データベース。
http://nvd.nist.gov/home.cfm

(*4)Common Vulnerability Scoring System、共通脆弱性評価システム。
http://www.ipa.go.jp/security/vuln/CVSS.html

(*5)脆弱性の深刻度評価の新バージョンCVSS v2について。
http://www.ipa.go.jp/security/vuln/SeverityLevel2.html

(*6)スマートフォンを安全に使おう! ~スマートフォンを安全に使用するための6箇条~
http://www.ipa.go.jp/security/keihatsu/pr2012/general/03_smartphone.html
スマートフォンのセキュリティ <危険回避> 対策のしおり
http://www.ipa.go.jp/security/antivirus/documents/08_smartphone.pdf

(*7)Common Weakness Enumeration。概要は次を参照ください。
http://www.ipa.go.jp/security/vuln/CWE.html

(*8)制御機器の脆弱性に関する注意喚起
http://www.ipa.go.jp/about/press/20120229.html

(*9)http://www.ipa.go.jp/security/awareness/vendor/programmingv2/index.html

(*10)脆弱性体験学習ツール「AppGoat」。
http://www.ipa.go.jp/security/vuln/appgoat/index.html

資料のダウンロード

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター 渡辺/大森
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。