HOME情報セキュリティ脆弱性対策情報脆弱性対策情報データベースJVN iPediaの登録状況 [2016年第3四半期(7月~9月)]

本文を印刷する

情報セキュリティ

脆弱性対策情報データベースJVN iPediaの登録状況 [2016年第3四半期(7月~9月)]

独立行政法人情報処理推進機構
最終更新日:2016年10月25日

  • 以下は、「脆弱性対策情報データベース JVN iPediaに関する活動報告レポート」1章の抜粋です。2章以降は 活動報告レポート(PDF) をご参照ください。

1. 2016年第3四半期 脆弱性対策情報データベース JVN iPediaの登録状況

 脆弱性対策情報データベース「JVN iPedia( http://jvndb.jvn.jp/ )」は、ソフトウェア製品に関する脆弱性対策情報を2007年4月25日から日本語で公開しています。システム管理者が迅速に脆弱性対策を行えるよう、1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情報ポータルサイトJVN(*1)で公表した脆弱性対策情報、3)米国国立標準技術研究所NIST(*2)の脆弱性データベース「NVD(*3)」が公開した脆弱性対策情報を集約、翻訳しています。

1-1. 脆弱性対策情報の登録状況

~脆弱性対策情報の登録件数の累計は63,047件~

 2016年第3四半期(2016年7月1日から9月30日まで)にJVN iPedia日本語版へ登録した脆弱性対策情報は下表の通りとなり、脆弱性対策情報の登録件数は、累計63,047件でした(表1-1、図1-1)。

 JVN iPedia英語版へ登録した脆弱性対策情報も下表の通り、累計で1,516件になりました。

表1-1.2016年第3四半期の登録件数
  情報の収集元 登録件数 累計件数
日本語版 国内製品開発者 2 178
JVN 278 6,776
NVD 1,458 56,093
1,738 63,047
英語版 国内製品開発者 2 178
JVN 56 1,338
58 1,516

図1-1. JVN iPediaの登録件数の四半期別推移

1-2. 【注目情報1】スマートフォンのOSに関する脆弱性対策情報について

~Apple iOSの3つの脆弱性を悪用した攻撃を確認、OSのアップデートは迅速な実施を~

 2016年8月にアップル社のiPhoneやiPadのOSであるiOSに関する脆弱性対策情報が当該ベンダーから公開されました。本情報が公開された時点で、セキュリティベンダーより本脆弱性を悪用した攻撃を確認済みであり(*4)、今後被害が拡大する可能性があることからIPAでは緊急対策情報の発信を行いました(*5)。なお、この攻撃はiOSに存在する3つの脆弱性を悪用しており、攻撃者が用意したページに脆弱性の対策がされていないスマートフォンでアクセスすると、通話履歴やSMSなどの情報が漏えいする可能性があります。

 表1-2は攻撃に悪用された脆弱性対策情報を示したものです。項番3の脆弱性CVE-2016-4657は深刻度が「レベル2(警告)」と評価されていますが、当該脆弱性への攻撃を踏み台とされることでCVE-2016-4655、CVE-2016-4656である「レベル3(危険)」の脆弱性を悪用され、より深刻な被害に繋がります。なお、脆弱性の影響を受けウイルスに感染をしている場合は、OSのアップデートだけでは対策ができないため、セキュリティソフトなどによる対処が必要(*6)となります。

表1-2.攻撃に悪用された脆弱性対策情報
No ID(CVE) タイトル 深刻度
(CVSSv2)
1 JVNDB-2016-004455
(CVE-2016-4655)
Apple iOS のカーネルにおけるメモリから重要な情報を取得される脆弱性 7.1
2 JVNDB-2016-004456
(CVE-2016-4656)
Apple iOS のカーネルにおける特権付きコンテキスト内で任意のコードを実行される脆弱性 9.3
3 JVNDB-2016-004457
(CVE-2016-4657)
Apple iOS などで使用される WebKit における任意のコードを実行される脆弱性 6.8

 iPhoneなどのスマートフォンは電話やインターネットの閲覧、GPSによる現在地の確認など様々な用途で用いられており、それに伴い電話番号や通信記録、位置情報などの多くの重要な情報を取り扱っています。このため攻撃により、情報の漏えいやスマートフォンが制御されると、深刻な被害となる可能性があります。

 スマートフォンを安全に利用するためにも、利用者はOSの脆弱性が確認されたら早急にアップデートを行う必要があります。OSの脆弱性対策以外にも、スマートフォンで使用するアプリケーションは公式のマーケットからインストールし、インストール後も最新バージョンが公開されたらアップデートする等の脆弱性対策を実施する。さらに、ウイルス感染の危険性を下げるためにセキュリティソフトを導入するなどの対策を実施することも重要です。

1-3. 【注目情報2】セキュリティソフトの脆弱性対策情報について

~Symantec製品に最も深刻度の高い「レベルIII(危険)」の脆弱性、早急な対応が必要~

 2016年6月下旬にノートンなどのセキュリティソフトを提供しているSymantec社の製品に関する脆弱性情報が公開されました。本脆弱性を悪用した攻撃コードが一般に公開されており、誰でも容易に攻撃が可能な状況となっていたため、IPAでは悪用される可能性が極めて高いと判断し、2016年7月に緊急対策情報を発信しています(*7)

 表1-3は当該脆弱性に関してベンダーから発信された情報を基にJVN iPediaで公開をした、深刻度が「レベル3(危険)」と評価された脆弱性対策情報の一覧です。これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了する、攻撃者によってパソコンを制御されるなど、様々な被害が発生する可能性があります。なお、一部の企業向け製品においてはLiveUpdateなどの自動更新だけではなく、最新版の製品をインストールする必要があることに注意をしてください。アップデート方法についての詳細は、ベンダー情報(*8)などを確認し実施をする必要があります。

表1-3.Symantec製品に関する脆弱性対策情報
No ID(CVE) タイトル 深刻度
(CVSSv2)
1 JVNDB-2016-003441
(CVE-2016-2207)
複数の Symantec 製品の圧縮解凍エンジンにおける任意のコードを実行される脆弱性 10.0
2 JVNDB-2016-003442
(CVE-2016-2209)
複数の Symantec 製品の圧縮解凍エンジンの Dec2SS.dll におけるバッファオーバーフローの脆弱性 9.0
3 JVNDB-2016-003443
(CVE-2016-2210)
複数の Symantec 製品の圧縮解凍エンジンの Dec2LHA.dll におけるバッファオーバーフローの脆弱性 9.0
4 JVNDB-2016-003444
(CVE-2016-2211)
複数の Symantec 製品の圧縮解凍エンジンにおける任意のコードを実行される脆弱性 9.3
5 JVNDB-2016-003445
(CVE-2016-3644)
複数の Symantec 製品の圧縮解凍エンジンにおける任意のコードを実行される脆弱性 10.0
6 JVNDB-2016-003446
(CVE-2016-3645)
複数の Symantec 製品の圧縮解凍エンジンの TNEF アンパッカーにおける整数オーバーフローの脆弱性 10.0
7 JVNDB-2016-003447
(CVE-2016-3646)
複数の Symantec 製品の圧縮解凍エンジンにおける任意のコードを実行される脆弱性 10.0

 一般的なセキュリティソフトはスパイウェアやマルウェアなどの脅威からPCを守る役割を持っています。しかし今回公開された脆弱性のようにセキュリティソフト自体に脆弱性が確認され、悪用される原因になってしまうケースも存在します。

 そのため利用者は、セキュリティソフト製品も脆弱性の影響を受ける可能性のあるソフトウェアの一つと認識する必要があり、ベンダーから製品のアップデート情報などが公開された場合は、脆弱性を悪用される前に、公開された情報をもとに早急にアップデートなどの対策実施を行うことが重要です。

脚注

(*1) Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
https://jvn.jp/

(*2) National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
http://www.nist.gov/

(*3) National Vulnerability Database。NISTが運営する脆弱性データベース。
http://nvd.nist.gov/home.cfm

(*4) 3 things CISOs need to know about the Trident iOS vulnerabilities
https://blog.lookout.com/blog/2016/08/25/lookout-trident-pegasus-enterprise-discovery/

(*5) Apple iOS および OS X の脆弱性対策について(CVE-2016-4655 等)
https://www.ipa.go.jp/security/ciadr/vul/20160829-ios.html

(*6) まとめ:iOSの脆弱性を狙う脅威「ペガサス」概要と、対策方法
https://blog.lookout.com/jp/2016/09/08/pegasussummary/

(*7) Symantec 製品の脆弱性対策について(CVE-2016-3647 等)
https://www.ipa.go.jp/security/ciadr/vul/20160705-symantec.html

(*8)セキュリティアドバイザリー - シマンテックの圧縮解除エンジンの解析に複数の脆弱性
https://www.symantec.com/content/ja/jp/enterprise/other_resources/sym16-010.pdf

資料のダウンロード

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター 竹村/斉藤
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: