1. 2014年第4四半期 脆弱性対策情報データベース JVN iPediaの登録状況
脆弱性対策情報データベース「JVN iPedia( http://jvndb.jvn.jp/ )」は、ソフトウェア製品に関する脆弱性対策情報を2007年4月25日から日本語で公開しているものです。システム管理者が迅速に脆弱性対策を行えるよう、1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情報ポータルサイトJVN(*1)で公表した脆弱性対策情報、3)米国国立標準技術研究所NIST(*2)の脆弱性データベース「NVD (*3)」が公開したソフトウェアの脆弱性対策情報を集約、翻訳しています。
1.1 脆弱性対策情報の登録状況
~脆弱性対策情報の登録件数の累計は51,499件~
2014年第4四半期(2014年10月1日から12月31日まで)にJVN iPedia日本語版へ登録した脆弱性対策情報は右表の通りとなり、脆弱性対策情報の登録件数は、51,499件でした(表1-1、図1-1)。登録件数の内訳に注目をすると今四半期はJVNから収集した件数が1,408件となっており、2014年第3四半期までと比較すると大幅に増えています。これは、9月5日の「複数の Android アプリに SSL 証明書を適切に検証しない脆弱性」(*4)の公表にともない、1,200件を超えるAndroidアプリを脆弱性関連情報に登録し公開したためです。
JVN iPedia英語版へ登録した脆弱性対策情報は上表の通り、累計で1,138件になりました。
情報の収集元 | 登録件数 | 累計件数 | |
---|---|---|---|
日本語版 | 国内製品開発者 | 3 件 | 161 件 |
JVN | 1,408 件 | 5,037件 | |
NVD | 1,661 件 | 46,301 件 | |
計 | 3,072 件 | 51,499 件 | |
英語版 | 国内製品開発者 | 3 件 | 161 件 |
JVN | 34 件 | 977 件 | |
計 | 37 件 | 1,138 件 |
1-2. 【注目情報1】脆弱性対策情報は更新情報も漏れなく収集し、対象製品に対策を
~商用製品にも組み込まれているOpenSSL、Apache Struts、Bashの脆弱性対策情報が多数公開~
2014年は広く利用されている製品に影響のある脆弱性対策情報が多く公開されました。その中でも特にニュース等にも取り上げられたのがウェブサイト構築等でも利用されることが多いOpenSSL、Apache Struts、Bash の3つのソフトウェアでした。
報道等によると、通信を暗号化するためのOpenSSLに関する脆弱性(*5)は国内でも攻撃に悪用され情報漏えいの事件(*6)が発生しました。また、ウェブサイトを構築する際に使用されるApache Strutsの脆弱性(*7)では、修正が不十分であったために数か月にわたり、同一の脆弱性に対して修正パッチが分散して何度も公開されるなど、管理者は繰り返し情報収集と対策の必要に迫られました。さらに、BashはUNIX系のOSに標準搭載されているため、影響を受ける製品が多く、対象の脆弱性を標的とした攻撃の通信も観測(*8)されています。
表1-2-1は、2014年1月から12月においてJVN iPediaに登録されている脆弱性対策情報へのアクセス数上位20件を示したものです。これらの脆弱性対策情報は、JVN iPediaへのアクセス数からも関心の高さがわかります。
表1-2-1の更新回数をみると、前述したOpenSSL、Apache Struts、Bashのソフトウェア製品に関する脆弱性対策情報は10回以上更新がされているものが複数あります。これら3つのソフトウェアは、商用を含めた多数の製品にも多く組み込まれているため、影響を受ける製品情報の追加や対策方法の修正等に伴い、JVN iPedia上の製品情報も更新されます。最初の脆弱性対策情報の公開から時間の経過とともに、対策が必要な製品情報などが追加されるケースは多々あります。このため、システム管理者は、利用中の自システム内に脆弱性の対象となる製品が内在していないかを日々確認することが脆弱性対策にあたっては重要です。
また、図1-2-2は、表1-2-1のアクセス数の上位20件から前述したソフトウェア製品などに関する情報を件数別で集計したものです。
OpenSSL、Apache、Bashの脆弱性対策情報は20件中で16件を占めており、表1-2-2内の製品全体の80%を占めています。これらのソフトウェアについてはシステム管理者を含めた利用者からの注目度が高いことが見てとれます。
ウェブサイト運営者などのシステム管理者は脆弱性対策情報を随時収集し、更新された情報にも該当する脆弱性の対象製品がないか、確認してください。また、情報収集の際は、脆弱性対策情報フィルタリング収集ツール(略称mjcheck3)(*9)等のツールを利用し、効率的な情報収集と迅速な対策実施を検討してください。
1-3. 【注目情報2】産業用制御システムの脆弱性の57%が最も深刻度の高い「レベルIII(危険)」
~ドイツでは製鉄所がサイバー攻撃によって甚大な被害を受ける事件が発生~
ドイツの製鉄所がサイバー攻撃によって工場設備に甚大な被害が発生したことが2014年12月に公開された同国政府機関の報告書により明らかになる(*10)など、重要インフラなどを支える産業用制御システムに対する脅威が現実化しています。このことからも産業用制御システムを脅威から守るための情報セキュリティ対策の必要性は日々重要性を増しているといえます。IPAでは、産業用制御システムの情報セキュリティ強化の一環として、2013年から制御機器が情報セキュリティ要件を満たしていることを確認する制御機器認証プログラム「EDSA」(*11)の確立・普及を目的としたパイロットプロジェクトへ参画しています。
図1-3-1は、JVN iPedia における産業用制御システムに関するソフトウェアの脆弱性対策情報の登録件数とCVSSの分類による深刻度の割合を示しています。今四半期までの登録累計は597件となっており、2012年以降に着目すると毎年100件を超える産業用制御システムに関する脆弱性対策情報が公開されていることがわかります。
図1-3-2のグラフは、JVN iPediaに登録されている産業用制御システムの脆弱性対策情報に関する深刻度割合を示したものです。最も深刻度の高いレベルIII(危険、CVSS基本値=7.0~10.0)が57.0%となっており、累計597件の半数以上が、深刻なサービス停止や改ざん、情報漏えいなどの被害が発生する可能性がある脆弱性対策情報となっています。
産業用制御システムの管理者は、脆弱性対策情報を定期的に収集し、利用製品に脆弱性が存在していないかを日々確認してください。脆弱性が存在する場合には、開発元や販売元にバージョンアップ等の対策方法の有無を確認し、速やかな対応を検討してください。直ちに対策することが困難な場合には、産業用制御システムが設置されているネットワーク等の利用環境やリスクを評価し、リスクの低減策や脅威の緩和策を図るなどの対応を検討してください。(*12)
2. JVN iPediaの登録データ分類
2-1. 脆弱性の種類別件数
図2-1のグラフは、2014年第4四半期にJVN iPediaへ登録された脆弱性対策情報を、共通脆弱性タイプ一覧別に分類し、件数を集計した示したものです。
集計結果は件数が多い順に、CWE-310(暗号の問題)が1,323件、CWE-79(クロスサイト・スクリプティング)が281件、CWE-264(認可・権限・アクセス制御)が159件、でした。
最も件数の多かったCWE-310(暗号の問題)では、脆弱性が悪用されるとSSL 証明書が偽装され偽サイトを本物サイトに偽装される、などの可能性があります。CWE-310の登録件数が1,323件と多い理由は、「複数の Android アプリに SSL 証明書を適切に検証しない脆弱性」(*13)の公表を受け、1,200件を超えるAndroidアプリを脆弱性関連情報に登録し公開したためです。
製品開発者は、ソフトウェアの企画・設計段階から、セキュリティ対策を講じ、これら脆弱性の低減に努めることが求められます。なお、IPAでは、セキュアなプログラム開発の参考となる「セキュア・プログラミング講座(*14)」、脆弱性の仕組みを実習形式や演習機能(*15)で学ぶことができる脆弱性体験学習ツール「AppGoat(*16)」、Androidアプリの開発者向けに脆弱性の学習・点検ツール「AnCoLe(*17)」、などの資料やツールを公開しています。
2-2. 脆弱性に関する深刻度別割合
図2-2のグラフはJVN iPediaに登録済みの脆弱性対策情報を脆弱性の深刻度別に分類し、公表年別にその推移を示したものです。
脆弱性対策情報の公開開始から2014年12月31日までにJVN iPediaに登録された脆弱性対策情報は深刻度別に、レベル3が全体の40.7%、レベル2が52.3%、レベル1が7.0%となっています。
これら既知の脆弱性の深刻度は全体の93%がサービス停止につながるような高い脅威である、レベル2以上となっています。既知の脆弱性による脅威を回避するため、製品利用者は脆弱性が解消されている製品へのバージョンアップやアップデートなどを速やかに行ってください。
2-3. 脆弱性対策情報を公表した製品の種類別件数
図2-3のグラフはJVN iPediaに登録済みの脆弱性対策情報を、ソフトウェア製品の種類別に件数を集計し、年次でその推移を示したものです。最も多いのはアプリケーションに関する脆弱性対策情報で、全件の85.3%を占めています。
また2008年以降、重要インフラなどで利用される、産業用制御システムに関する脆弱性対策情報が登録されるようになり、今四半期は23件、累計597件(*18)が登録されています。
2-4. 脆弱性対策情報の製品別登録状況
表2-4は2014年第4四半期(10月~12月)に脆弱性対策情報の登録件数が多かった製品、上位20件を示したものです。ブラウザ製品の登録件数が多く、1位のInternet Explorer、2位のGoogle Chrome、12位のMozilla Firefoxと上位を占めていることがわかります。その他、日立製作所の製品の脆弱性が多数修正されています。
JVN iPediaではブラウザ製品や頻繁にバージョンアップされることが多い製品だけでなく、多岐にわたるソフトウェア製品の脆弱性情報を掲載しています。利用者は自組織で使用しているソフトウェアの脆弱性情報を迅速に入手し、効率的な対策に役立てることができます。
順位 | カテゴリ | 製品名(ベンダー) | 登録件数 |
---|---|---|---|
1 | ブラウザ | Internet Explorer(マイクロソフト) | 74 |
2 | ブラウザ | Google Chrome(Google) | 56 |
3 | ミドルウェア | MySQL(オラクル) | 41 |
4 | OS | Linux Kernel(kernel.org) | 35 |
5 | ミドルウェア | Oracle Database(オラクル) | 30 |
6 | エミュレーター | QEMU(Fabrice Bellard) | 29 |
7 | 動画再生ソフト | Adobe Flash Player(アドビシステムズ) | 28 |
8 | OS | Apple Mac OS X(アップル) | 26 |
9 | CMS | Plone(Plone Foundation) | 25 |
9 | 開発環境 | JDK(オラクル) | 25 |
9 | 開発環境 | JRE(オラクル) | 25 |
12 | ブラウザ | Mozilla Firefox(Mozilla Foundation) | 23 |
13 | 開発環境 | Adobe AIR SDK(アドビシステムズ) | 22 |
13 | 開発環境 | Adobe AIR(アドビシステムズ) | 22 |
15 | PDF閲覧・編集 | Adobe Acrobat(アドビシステムズ) | 20 |
15 | PDF閲覧 | Adobe Reader(アドビシステムズ) | 20 |
17 | 統合開発・運用環境 | uCosminexus Developer Standard(日立 ) | 19 |
17 | 統合開発・運用環境 | uCosminexus Service Platform(日立 ) | 19 |
17 | 統合開発・運用環境 | uCosminexus Primary Server(日立 ) | 19 |
17 | 統合開発・運用環境 | uCosminexus Application Server(日立 ) | 19 |
3. 脆弱性対策情報の活用状況
表3-1は2014年第4四半期(10月~12月)にアクセスの多かったJVN iPediaの脆弱性対策情報の、上位20件を示したものです。OpenSSLに関する脆弱性はアクセスの1位、3位、9位、13位、19位、20位と、20件中6件を占めています。またGNU bashに関する脆弱性も2位、5位、6位、7位、8位、10位と20件中6件を占めています。いずれも、商用製品などに組み込まれて利用されることが多く、自システム内で利用されている可能性があることからシステム管理者や利用者が参照する機会が多かったものと考えられます。
表3-2は国内の製品開発者から収集した脆弱性対策情報でアクセスの多かった上位5件を示しています。上位3件の公開日は今四半期内で、日立のJP1に注目が集まっていることが見てとれます。 また、2位、3位、5位の深刻度はレベルIII(危険)となっており、これらの脆弱性が攻撃をされた場合には、自システムが深刻なダメージを受ける可能性が想定されます。
# | ID | タイトル | CVSS 基本値 |
公開日 |
---|---|---|---|---|
1 | JVNDB-2014-004833 | JP1/NETM/DM および Job Management Partner 1/Software Distribution における PC 内蔵タイプの USB ストレージデバイスを抑止不可とされる脆弱性 | 5.0 | 2014/10/20 |
2 | JVNDB-2014-005987 | JP1/Cm2/Network Node Manager i における複数の脆弱性 | 10.0 | 2014/12/16 |
3 | JVNDB-2014-005986 | JP1/Cm2/Network Node Manager i における複数のバッファオーバーフローの脆弱性 | 10.0 | 2014/12/16 |
4 | JVNDB-2007-001022 | Apache の mod_autoindex.c における UTF-7 エンコードに関するクロスサイトスクリプティングの脆弱性 | 4.3 | 2007/12/25 |
5 | JVNDB-2014-002800 | Hitachi Tuning Manager および JP1/Performance Management - Manager Web Option における複数の脆弱性 | 9.0 | 2014/6/11 |
注1)CVSS基本値の深刻度による色分け
CVSS基本値=0.0~3.9 深刻度=レベルI(注意) |
CVSS基本値=4.0~6.9 深刻度=レベルII(警告) |
CVSS基本値=7.0~10.0 深刻度=レベルIII(危険) |
注2)公開日の年による色分け
2012年以前の公開 | 2013年の公開 | 2014年の公開 |
脚注
(*1) Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/
(*2) National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
http://www.nist.gov/
(*3) National Vulnerability Database。NISTが運営する脆弱性データベース。
http://nvd.nist.gov/home.cfm
(*4)JVNVU#90369988として公開した脆弱性対策情報。
http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-004043.html
(*5)更新:OpenSSL の脆弱性対策について(CVE-2014-0160)
http://www.ipa.go.jp/security/ciadr/vul/20140408-openssl.html
(*6)弊社会員専用 WEB サービスへの不正アクセスにより 一部のお客さま情報が不正閲覧された件
http://www.cr.mufg.jp/corporate/info/pdf/2014/140418_01.pdf
(*7)更新:Apache Struts2 の脆弱性対策について(CVE-2014-0094)(CVE-2014-0112)(CVE-2014-0113)
http://www.ipa.go.jp/security/ciadr/vul/20140417-struts.html
(*8)Bashの脆弱性を標的としたアクセスの観測について(第3報)
http://www.npa.go.jp/cyberpolice/detect/pdf/20141209-2.pdf
(*9)MyJVN脆弱性対策情報フィルタリング収集ツール
http://jvndb.jvn.jp/apis/myjvn/mjcheck3.html
(*10)ニュース記事「ドイツの製鉄所がハッキング攻撃で操業停止、ドイツ連邦電子情報保安局が報告書を公開」
http://www.businessnewsline.com/news/201412230814210000.html
(*11)制御機器認証プログラム「EDSA」国内認証制度の確立および規格書対訳版の公開について
https://www.ipa.go.jp/about/press/20130415.html
(*12)制御機器の脆弱性に関する注意喚起
http://www.ipa.go.jp/about/press/20120229.html
(*13)JVNVU#90369988として公開した脆弱性対策情報。
http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-004043.html
(*14)「セキュア・プログラミング講座」のねらい
http://www.ipa.go.jp/security/awareness/vendor/programmingv2/index.html
(*15)プレス発表 「脆弱性体験学習ツール AppGoat ウェブアプリケーション学習版」を機能強化
https://www.ipa.go.jp/about/press/20140310.html
(*16)脆弱性体験学習ツール「AppGoat」
http://www.ipa.go.jp/security/vuln/appgoat/index.html
(*17)Androidアプリの脆弱性の学習・点検ツール AnCoLe
http://www.ipa.go.jp/security/vuln/ancole/index.html
(*18)産業用制御システムの年次別件数は、2011年は94件、2012年は176件、2013年は140件、2014年は147件
資料のダウンロード
参考情報
本件に関するお問い合わせ先
IPA セキュリティセンター 斉藤/関口
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: