HOME情報セキュリティ脆弱性対策情報脆弱性対策情報データベースJVN iPediaの登録状況 [2017年第2四半期(4月~6月)]

本文を印刷する

情報セキュリティ

脆弱性対策情報データベースJVN iPediaの登録状況 [2017年第2四半期(4月~6月)]

独立行政法人情報処理推進機構
最終更新日:2017年7月25日

  • 以下は、「脆弱性対策情報データベース JVN iPediaに関する活動報告レポート」1章の抜粋です。2章以降は 活動報告レポート(PDF) をご参照ください。

1. 2017年第2四半期 脆弱性対策情報データベース JVN iPediaの登録状況

 脆弱性対策情報データベース「JVN iPedia( http://jvndb.jvn.jp/ )」は、ソフトウェア製品に関する脆弱性対策情報を2007年4月25日から日本語で公開しているものです。システム管理者が迅速に脆弱性対策を行えるよう、1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情報ポータルサイトJVN(*1)で公表した脆弱性対策情報、3)米国国立標準技術研究所NIST(*2)の脆弱性データベース「NVD(*3)」が公開した脆弱性対策情報を集約、翻訳しています。

1-1. 脆弱性対策情報の登録状況

~脆弱性対策情報の登録件数の累計は70,996件~

 2017年第2四半期(2017年4月1日から6月30日まで)にJVN iPedia日本語版へ登録した脆弱性対策情報は下表の通りとなり、脆弱性対策情報の登録件数の累計は、70,996件でした(表1-1、図1-1)。2017年からNVDの公開件数が増加傾向となっており、今四半期の登録件数は3,511件と、前四半期の登録件数の2,867件を上回りました。
 また、JVN iPedia英語版へ登録した脆弱性対策情報は右表の通り、累計で1,728件になりました。

表1-1.2017年第2四半期の登録件数
  情報の収集元 登録件数 累計件数
日本語版 国内製品開発者 3 183
JVN 310 7,470
NVD 3,198 63,343
3,511 70,996
英語版 国内製品開発者 3 183
JVN 89 1,545
92 1,728

図1-1. JVN iPediaの登録件数の四半期別推移

1-2. 【注目情報1】WordPress用プラグインのソフトウェアに関する脆弱性対策情報について

~8割以上の脆弱性対策情報がサービス停止につながる高い脅威である深刻度レベルII以上~

 2017年6月、WordPress用プラグイン(*4)「WP Job Manager」を使用した国内の複数のウェブサイトにおいて、本プラグインの脆弱性を悪用した攻撃による被害が発生しました。本脆弱性が悪用された場合、ウェブサイトにログインしていない遠隔の第三者によって、画像ファイルをアップロードされ、ウェブサイトが改ざんされるなどの被害が発生します。IPAでは同様の被害が拡大する可能性が非常に高い状況であることから、当該ソフトウェアの利用者に対して緊急対策情報を発信しました(*5)
 表1-2は今四半期(2017年4月1日~2017年6月30日までの3ヶ月間)にJVN iPediaで登録したWordPress用プラグインのソフトウェア全般に関する脆弱性対策情報の一覧です。

表1-2. WordPress用プラグインのソフトウェアに関する脆弱性対策情報(2017年4月~2017年6月)

今四半期は、上記の緊急対策情報で攻撃対象となった脆弱性対策情報JVNDB-2017-000139を含めて、合計37件の脆弱性対策情報を登録し、そのうちの8割以上(30件)が、サービス停止につながるような高い脅威である深刻度レベルII(CVSSv2基本値4.0~6.9)以上となっています。 図1-2は、表1-2を元にした、セキュリティ上の弱点(脆弱性)の種類を識別するための識別子である共通脆弱性タイプ一覧CWEの割合です。

上述のCWEの割合に着目をすると、クロスサイトスクリプティング(CWE-79)が51.4%と多くを占めており、続いてSQLインジェクション(CWE-89)、パス・トラバーサル(CWE-22)が13.5%となっています。一例として、SQLインジェクション(CWE-89)の被害事例に注目すると、データベースの情報を改ざんされたり、窃取されたりすることにより、重要な情報が漏えいする、などの重大なインシデントが発生します。

このように、WordPressに関する脆弱性は本体だけでなく、そのプラグインのソフトウェアにも存在しており、SQLインジェクションの脆弱性を悪用されるといった重大なインシデントが発生する可能性があります。WordPressなどのCMS(Contents Management System)のソフトウェアを利用しているシステムの運用・管理者は、本体だけでなく、そのプラグインのソフトウェアについても最新の更新情報を随時確認し、すみやかに最新パッチを適用することが重要です。

なお、IPAでは多くの利用者が影響を受けるソフトウェアを対象に、必要に応じて緊急対策情報を公開しており、またその緊急対策情報をいち早く受け取るための「icat for JSON(*6)」サービスもあわせて提供しています。システムの運用・管理者は、このようなサービス活用も検討するなどして迅速な脆弱性対策を実施してください。

1-3. 【注目情報2】IPAに報告されたDLL読み込みに関する脆弱性について

~今四半期の登録件数は29件、直近3年間において最大の登録件数~

 今四半期は、情報セキュリティ早期警戒パートナーシップ(*7)に基づきIPAに報告された、DLL(*8)読み込みに関する脆弱性をJVN iPediaに多数登録しました。本脆弱性は、インストーラや自己解凍書庫ファイル等のアプリケーション実行時、DLLファイルの読み込みにおいて、Windowsのシステムディレクトリなどに配置されている正規のDLLファイルではなく、アプリケーションと同じディレクトリに配置されているDLLファイルが優先して読まれる問題です。ウイルスの中には、この挙動を悪用して感染拡大するものも確認されています(*9)

 図1-3は2014年第3四半期から今四半期までの本脆弱性の登録件数の推移です。今四半期の登録件数は29件となっており、直近3年間において最大の登録件数となっています。本脆弱性は、容易に発見できるため、登録が急激に増加したと考えられます。

 表1-3は、今四半期に登録した本脆弱性の脆弱性対策情報を一部抜粋したものです。脆弱性の深刻度がレベル2(CVSSv2基本値:6.8)と比較的高く、脆弱性を悪用した攻撃を受けた際に影響が大きいことがわかります。

表1-3.IPAに報告されたDLL読み込みに関する脆弱性対策情報(一部抜粋)

 インストーラ作成ソフトウェアや圧縮解凍ツールの開発者およびインストーラや自己解凍書庫ファイルの開発者は、利用者が被害に遭わないために、以下のような対策(*10)が求められます。
■インストーラ作成ソフトウェアや圧縮解凍ツールの開発者
 本脆弱性の問題がインストーラ作成ソフトウェアや圧縮解凍ツールに存在しないことを確認し、適切な対策を実施してください。
■インストーラや自己解凍書庫ファイルの開発者
 JVN iPedia等でアプリケーションに脆弱性を確認した場合、対策済みバージョンのインストーラ作成ソフトウェアや圧縮解凍ツールを使用してください。また、コマンド実行などの改修を行う場合には、意図したディレクトリにあるコマンドを実行するよう、適切に改修を行ってください。

 また、アプリケーション利用者においても、インストーラや自己解凍書庫ファイルの実行時に以下の点を注意する必要があります。
■アプリケーション利用者
 インストーラや自己解凍書庫ファイルを実行する際、同一ディレクトリ内に不審なファイルがないことを確認してから実行するか、新たに作成したディレクトリにファイルをコピーしてから実行してください。また、インターネット経由でダウンロードしたアプリケーションをダウンロードディレクトリに置いたまま実行しないことを推奨します。例えば、細工された DLLファイルをダウンロードディレクトリにダウンロードしている状態で、インストーラをそのまま実行すると、細工されたDLL ファイルが読み込まれてインストーラを実行する可能性があります。

脚注

(*1) Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
https://jvn.jp/別ウィンドウで開く

(*2) National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
https://www.nist.gov/別ウィンドウで開く

(*3) National Vulnerability Database。NISTが運営する脆弱性データベース。
https://nvd.nist.gov別ウィンドウで開く

(*4) プラグイン:ソフトウェアの機能を拡張するために追加できるプログラム

(*5) WordPress 用プラグイン「WP Job Manager」におけるアクセス制限不備の問題について(JVN#56787058)
https://www.ipa.go.jp/security/ciadr/vul/20170615-jvn.html

(*6) IPAから発信している重要なセキュリティ情報をリアルタイムに配信するサービス。1,000組織以上がサービス活用中。
https://www.ipa.go.jp/security/vuln/icat.html別ウィンドウで開く

(*7) 情報セキュリティ早期警戒パートナーシップガイドライン
https://www.ipa.go.jp/security/ciadr/partnership_guide.html

(*8) DLL:ソフトウェアで使用する汎用的な機能をモジュール化したファイル

(*9) オープンソースのRATを改良したマルウエアRedLeaves(2017-04-03)
https://www.jpcert.or.jp/magazine/acreport-redleaves.html別ウィンドウで開く

(*10) Windows アプリケーションによる DLL 読み込みやコマンド実行に関する問題 JVNTA#91240916
https://jvn.jp/ta/JVNTA91240916/

資料のダウンロード

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター 竹村/土屋
E-mail: