HOME情報セキュリティ情報セキュリティ対策脆弱性対策脆弱性対策情報データベースJVN iPediaの登録状況[2012年第3四半期(7月~9月)]

本文を印刷する

情報セキュリティ

脆弱性対策情報データベースJVN iPediaの登録状況[2012年第3四半期(7月~9月)]

掲載日 2012年10月18日
独立行政法人情報処理推進機構

1. 2012年 第3四半期 脆弱性対策情報データベース JVN iPediaの登録状況(総括)

 脆弱性対策情報データベース「JVN iPedia(http://jvndb.jvn.jp/)」は、国内外で使用されているソフトウェアの脆弱性対策情報を収集・公開することにより、脆弱性関連情報を容易に利用可能とすることを目指しています。1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情報ポータルサイトJVN(*1)で公表した脆弱性対策情報、3)米国国立標準技術研究所NIST(*2)の脆弱性データベース「NVD(*3)」が公開した脆弱性対策情報の中から情報を収集、翻訳し、2007年4月25日から公開しています。

1.1 脆弱性対策情報の登録状況

~脆弱性対策情報の登録件数が累計30,000件を超過~

 2012年第3四半期(2012年7月1日から9月30日まで)にJVN iPedia日本語版へ登録した脆弱性対策情報は、国内製品開発者から収集したもの2件(公開開始からの累計は135件)、JVNから収集したもの171件(累計2,179件)、NVDから収集したもの7,736件(累計28,529件)、合計7,909件(累計30,843件)となりました。脆弱性対策情報の登録件数が、累計30,000件を超えました(表1、図1)。

 JVN iPedia英語版は、国内製品開発者から収集したものが2件(累計135件)、JVNから収集したものが28件(累計682件)、合計30件(累計817件)でした。

表1.2012年第3四半期の登録件数
  情報の収集元 登録件数 累計件数
日本語版 国内製品開発者 2 135
JVN 171 2,179
NVD 7,736 28,529
7,909 30,843
英語版 国内製品開発者 2 135
JVN 28 682
30 817

図1. JVN iPediaの登録件数の四半期別推移

 IPAでは、システム管理者が脆弱性対策に活用できるように、JVN iPediaに登録されている脆弱性対策情報の拡充を図っています。前四半期と同様に、JVN iPediaに未反映であったNVDのデータ6,000件を登録したことから、前四半期と同等の登録件数になっています。登録件数や対象製品が増加したことにより、システム管理者が、より幅広い脆弱性対策情報を取得できるようになります。

 IPAでは、今後も国内の脆弱性対策情報の公開とは別に、NVDの情報を翻訳・公開する予定です。

1.2 登録している脆弱性対策情報に関する注目情報(その1)

スマートフォン上で稼働するAndroidアプリの脆弱性が急増。速やかなバージョンアップを

 近年、スマートフォンの利用者数は急激に増加しており、企業や個人によるスマートフォン用アプリケーション(以降、「アプリ」と略す。)の開発も活発になっています。ここ数年、スマートフォン市場におけるAndroidのシェアが増加しているのに伴い、JVN iPediaへのAndroidアプリの脆弱性の登録件数が増加しています。図2は、スマートフォン上で稼働するソフトウェア(OSやアプリ)のプラットフォーム別のJVN iPediaへの登録件数の年別推移を表したもので、Android系ソフトウェア(OSとアプリ)の登録件数増加が顕著に表されています。また、図3は、図2からAndroid OSとAndroidアプリだけを抽出した登録件数の年別推移です。Androidのアプリについては、昨年までは13件でしたが、2012年には90件の登録がありました。これは、Androidの普及によるアプリ数の拡大のほか、国内外の脆弱性研究者によるAndroidアプリに対する調査の活発化が一因であろうと推測しています。

図2. スマートフォン上で稼動するソフトウェアのOS別脆弱性対策情報登録件数の年別推移

図3. Android OS系ソフトウェアの製品区分別脆弱性対策情報登録件数の年別推移

 図4はGoogle Play(*4)によるカテゴリをもとにAndroidアプリの深刻度の割合を集計したものです。ブラウザやメールなどの通信アプリ、コミュニケーションを目的としたソーシャルネットワーキングアプリが61件登録されており、全体(103件)の59%を占めています。これらのカテゴリのアプリは基本的に個人情報を取り扱うため、利用者は脆弱性を含んだバージョンを使い続けていることにより、メッセージ内容、通信履歴、連絡先などの情報が漏えいする危険性があることを認識する必要があります。

 脆弱性が存在する古いバージョンのアプリを利用している場合は、速やかにアップデートが必要です。また、アプリの開発者による迅速な脆弱性対策の実施が求められます。

図4. Androidアプリのカテゴリ別深刻度割合

1.3 登録している脆弱性対策情報に関する注目情報(その2)

産業用制御システムに関する脆弱性対策情報は深刻度が高いものが6割以上

 近年、工場の生産設備等で使用されるコントローラや監視モニタ等の産業用制御システム(ICS:Industrial Control Systems)に関するソフトウェアの脆弱性が公開される傾向にあります。 図5は、JVN iPedia における産業用制御システムに関するソフトウェアの脆弱性対策情報の、登録件数と深刻度の割合を示しています。2011年の登録件数は87件で、2010年の21件と比較して約4倍に増加しており、2012年も増加の傾向にあります。

図5. 産業用制御システムに関するソフトウェアの脆弱性件数と深刻度割合の年別推移

 図6、図7のグラフは、JVN iPediaに登録済みの脆弱性対策情報に関して、産業用制御システムに関するソフトウェアと全体の深刻度の割合をそれぞれ示したものです。産業用制御システムに関するソフトウェアの深刻度の割合は、レベルIII(危険、CVSS基本値=7.0~10.0)が62%、レベルII(警告、CVSS基本値=4.0~6.9)が36%、レベルI(注意、CVSS基本値=0.0~3.9)が2%となっており、ソフトウェア全体と比較して、深刻度の高い脆弱性対策情報が多く登録されています。

(左)図6. 深刻度の割合(産業用制御システム)、(右)図7. 深刻度の割合(全体)

 産業用制御システムの利用者は、脆弱性対策情報を定期的に収集し、利用している製品に脆弱性が存在する場合、開発元や販売元にバージョンアップ等対策の有無を確認し、速やかな対応を検討してください。直ちに対策することが困難な場合は、産業用制御システムが設置されているネットワーク等の利用環境やリスクを評価し、その改善や対策を図るなどの対応を検討してください。(*5)

2. 2012年 第3四半期 脆弱性対策情報データベース JVN iPediaの登録状況(詳細)

2.1 脆弱性対策情報の登録状況

2.1.1 2012年第3四半期に登録した脆弱性の種類別件数

 図8のグラフは、JVN iPediaへ2012年第3四半期に登録した脆弱性対策情報を、CWEのタイプ別に分類した件数を示したものです。

 件数が多い脆弱性は、CWE-79(クロスサイト・スクリプティング)が978件、CWE-89(SQLインジェクション)が890件、CWE-119(バッファエラー)が684件、CWE-264(認可・権限・アクセス制御の問題)が487件、CWE-22(パス・トラバーサル)が340件、CWE-20(不適切な入力確認)が311件、などとなっています。

 これらは広く認知されている脆弱性の種類です。製品開発者は、これらの脆弱性に関してソフトウェアの企画・設計段階から、セキュリティ対策を講じる必要があります。なお、IPAでは、参考資料として「セキュア・プログラミング講座(*6)」、実習形式による脆弱性体験学習ツール「AppGoat(*7)を公開し、セキュアなプログラム開発の促進に努めています。

図8. 2012年第3四半期に登録した脆弱性の種類別件数

2.1.2 脆弱性に関する年別の深刻度別割合

 図9のグラフはJVN iPediaに登録済みの脆弱性対策情報について、脆弱性の深刻度別の件数の公表年別推移を示したものです。

 2012年9月30日までにJVN iPediaに登録済みの脆弱性対策情報の深刻度別割合は、レベルIII(危険、CVSS基本値=7.0~10.0)が45%、レベルII(警告、CVSS基本値=4.0~6.9)が48%、レベルI(注意、CVSS基本値=0.0~3.9)が7%となっています。

 深刻度の高い脆弱性が多数登録されていることから、製品利用者は情報を日々収集し、製品のバージョンアップやセキュリティ対策パッチの適用などを速やかに行うことが重要です。

図9. 脆弱性に関する年別の深刻度別割合

2.1.3 脆弱性対策情報を公表した製品の種類別件数

 図10のグラフはJVN iPediaに登録済みの脆弱性対策情報について、その製品の種類別件数の公表年別推移を示したものです。2011年第4四半期から、NVDから日々公開される全ての脆弱性対策情報をJVN iPediaの登録対象としたこともあり、アプリケーションの脆弱性対策情報の登録が増加しています。近年では、2007年の4,270件から2011年の3,755件まで、4,000件前後のアプリケーションの脆弱性が毎年登録されており、2012年も同様の傾向で推移をしています。

 2008年頃からは、重要インフラなどで利用される、産業用制御システムの脆弱性対策情報が登録されています。2008年分として8件、2009年分は10件、2010年分は21件、2011年分は87 件、2012年分は138件、合計264件の産業用制御システムに関する脆弱性対策情報を登録しています。

 毎年、数多くのアプリケーションが新しく開発され、それらにおいて脆弱性が発見されており、アプリケーションのセキュリティ対策は重要度を増しています。製品利用者は脆弱性対策情報を日々収集し、バージョンアップやセキュリティ対策パッチの適用などを速やかに行うことが重要です。

図10. 脆弱性対策情報を公表した製品の種類別件数の公開年別推移

2.1.4 オープンソースソフトウェアの割合

 図11のグラフはJVN iPediaに登録済みの脆弱性対策情報について、オープンソースソフトウェア(OSS)とOSS以外のソフトウェアの公表年別推移を示したものです。OSSの割合の年別推移を見ると、近年では2008年以降のOSSの割合が減少傾向となっていましたが、2011年には、NVDから日々公開される全ての脆弱性対策情報を登録対象としたことも一因となって、1,567件のOSSに関する情報を登録しています。その結果、2011年のOSSの割合は、2010年の35%から37%に増加しました。全体件数から見た割合は、OSSが39%、OSS以外が61%となっています。

図11. オープンソースソフトウェア(OSS)とOSS以外の公開年別推移

2.1.5 製品開発者(ベンダー)の内訳

 図12、図13のグラフは、JVN iPediaに登録済みの製品開発者(ベンダー)に関して、OSSのベンダーの内訳とOSS以外のベンダーの内訳をそれぞれ示したものです。

 OSSベンダーの内訳は、国内ベンダーが83、海外ベンダー(日本法人有り)が57、海外ベンダー(日本法人無し)が3,080、合計3,220ベンダーとなっています。OSS以外は、国内ベンダーが163、海外ベンダー(日本法人有り)が193、海外ベンダー(日本法人無し)が2,795、合計3,151ベンダーとなっています。

 OSSに関しては、日本法人の無い海外ベンダーの脆弱性対策情報が数多く登録されています。OSSを利用する場合、製品のバージョンアップやセキュリティパッチの適用などのノウハウを持たない製品利用者は、製品のサポートサービスの活用、保守契約上の取り決め等の考慮が必要です。

(左)図12. OSSのベンダーの内訳、(右)図13. OSS以外のベンダーの内訳

2.2 脆弱性対策情報の活用状況

 表3は2012年第3四半期(7月~9月)にアクセスの多かったJVN iPediaの脆弱性対策情報を、アクセス数の多い順に上位20件まで示しています。

 表4は国内の製品開発者から収集した脆弱性対策情報のアクセス数上位5件を示しています。

表3. JVN iPediaの脆弱性対策情報のアクセス数上位20件
[2012年7月~2012年9月]
# ID タイトル アクセス
CVSS
基本値
公開日
1 JVNDB-2012-003918 Oracle Java 7 に脆弱性 2,785 6.8 2012/8/29
2 JVNDB-2012-000077 複数の GREE 製 Android アプリにおける WebView クラスに関する脆弱性 2,022 2.6 2012/8/16
3 JVNDB-2012-003068 Apache Hadoop の DataNode における任意のブロックを読まれる脆弱性 1,621 7.5 2012/7/17
4 JVNDB-2012-000072 Yahoo!ツールバー (Chrome 版 / Safari 版) においてツールバーが書き換え可能な脆弱性 1,476 4.3 2012/7/30
5 JVNDB-2012-001258 Apache HTTP Server の protocol.c における HTTPOnly cookies の値を取得される脆弱性 1,299 4.3 2012/2/1
6 JVNDB-2012-003877 GNU C Library の stdlib における整数オーバーフローの脆弱性 1,118 4.6 2012/8/28
7 JVNDB-2012-000074 Android 版 LINE における暗黙的 Intent の扱いに関する脆弱性 1,046 2.6 2012/8/7
8 JVNDB-2011-002305 SSL と TLS の CBC モードに選択平文攻撃の脆弱性 1,007 4.3 2011/10/4
9 JVNDB-2011-002172 Apache HTTPD サーバにサービス運用妨害 (DoS) の脆弱性 971 7.8 2011/9/1
10 JVNDB-2012-000064 Android 版 嫁コレにおける端末識別番号の管理不備の脆弱性 964 2.6 2012/7/3
11 JVNDB-2012-000070 Yahoo!ブラウザーにおける WebView クラスに関する脆弱性 874 2.6 2012/7/13
12 JVNDB-2012-003240 PHP の stream の実装における脆弱性 865 10.0 2012/7/23
13 JVNDB-2012-000066 Ruby のハッシュ関数の実装におけるサービス運用妨害 (DoS) の脆弱性 775 5.0 2012/7/6
14 JVNDB-2012-003247 WordPress における重要な情報を取得される脆弱性 747 5.0 2012/7/24
15 JVNDB-2012-000073 GoodReader におけるクロスサイトスクリプティングの脆弱性 731 5.0 2012/8/2
16 JVNDB-2012-000078 Android 版 mixi における情報管理不備の脆弱性 674 2.6 2012/8/17
17 JVNDB-2012-004397 Internet Explorer に任意のコードが実行される脆弱性 662 9.3 2012/9/18
18 JVNDB-2012-003032 複数の F5 製品における SSH でログインされる脆弱性 630 7.8 2012/7/11
19 JVNDB-2012-003305 ISC BIND におけるサービス運用妨害 (表明違反および Daemon Exit) の脆弱性 627 7.8 2012/7/26
20 JVNDB-2012-003026 PHP の phar 拡張機能における整数オーバーフローの脆弱性 617 7.5 2012/7/10
表4. 国内の製品開発者から収集した脆弱性対策情報のアクセス数上位5件
[2012年7月~2012年9月]
# ID タイトル アクセス
CVSS
基本値
公開日
1 JVNDB-2012-003244 日立の JP1/NETM/DM のパッケージセットアップマネージャにおける権限昇格の脆弱性 562 7.2 2012/7/23
2 JVNDB-2012-003525 日立の JP1/Integrated Management - Service Support におけるクロスサイトスクリプティングの脆弱性 404 3.5 2012/8/10
3 JVNDB-2012-002377 日立の Windows 版 COBOL GUIオプションの開発環境における任意のコードを実行される脆弱性 178 10.0 2012/5/14
4 JVNDB-2008-001150 JP1/秘文の暗号化/復号機能および持ち出し制御機能における正しく動作が行われない問題 175 3.6 2008/3/14
5 JVNDB-2012-001932 富士通 Interstage List Works における拒否型アクセス権の設定が有効にならない脆弱性 165 3.6 2012/3/29

注1)CVSS基本値の深刻度による色分け

CVSS基本値=0.0~3.9
深刻度=レベルI(注意)
CVSS基本値=4.0~6.9
深刻度=レベルII(警告)
CVSS基本値=7.0~10.0
深刻度=レベルIII(危険)

注2)公開日の年による色分け

2010年以前の公開 2011年の公開 2012年の公開

脚注

(*1) Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/

(*2)National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
http://www.nist.gov/

(*3)National Vulnerability Database。NISTが運営する脆弱性データベース。
http://nvd.nist.gov/home.cfm

(*4)GoogleがAndroid端末向けに配布されているアプリの配布・販売用のサービス名称。アプリは、以下に示された種類にカテゴリ分けされている。
http://support.google.com/googleplay/android-developer/bin/answer.py?hl=ja&answer=113475

(*5)制御機器の脆弱性に関する注意喚起
http://www.ipa.go.jp/about/press/20120229.html

(*6)http://www.ipa.go.jp/security/awareness/vendor/programmingv2/index.html

(*7)脆弱性体験学習ツール「AppGoat」。
http://www.ipa.go.jp/security/vuln/appgoat/index.html

資料のダウンロード

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター 渡辺/大森
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。