HOME情報セキュリティ脆弱性対策情報脆弱性対策情報データベースJVN iPediaの登録状況 [2017年第3四半期(7月~9月)]

本文を印刷する

情報セキュリティ

脆弱性対策情報データベースJVN iPediaの登録状況 [2017年第3四半期(7月~9月)]

独立行政法人情報処理推進機構
最終更新日:2017年10月24日

  • 以下は、「脆弱性対策情報データベース JVN iPediaに関する活動報告レポート」1章の抜粋です。2章以降は 活動報告レポート(PDF) をご参照ください。

1. 2017年第3四半期 脆弱性対策情報データベース JVN iPediaの登録状況

 脆弱性対策情報データベース「JVN iPedia( http://jvndb.jvn.jp/ )」は、ソフトウェア製品に関する脆弱性対策情報を2007年4月25日から日本語で公開しているものです。システム管理者が迅速に脆弱性対策を行えるよう、1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情報ポータルサイトJVN(*1)で公表した脆弱性対策情報、3)米国国立標準技術研究所NIST(*2)の脆弱性データベース「NVD(*3)」が公開した脆弱性対策情報を集約、翻訳しています。

1-1. 脆弱性対策情報の登録状況

~脆弱性対策情報の登録件数の累計は74,691件~

 2017年第3四半期(2017年7月1日から9月30日まで)にJVN iPedia日本語版へ登録した脆弱性対策情報は下表の通りとなり、脆弱性対策情報の登録件数の累計は、74,691件でした(表1-1、図1-1)。2017年からNVDの公開件数が大幅に増加しており、今四半期のJVN iPediaの登録件数は3,695件と、昨年同時期(2016年7月~9月)の件数1,738件と比べて倍以上となっています。
 また、JVN iPedia英語版へ登録した脆弱性対策情報は下表の通り、累計で1,797件になりました。

表1-1.2017年第3四半期の登録件数
  情報の収集元 登録件数 累計件数
日本語版 国内製品開発者 3 186
JVN 181 7,651
NVD 3,511 66,854
3,695 74,691
英語版 国内製品開発者 3 186
JVN 66 1,611
69 1,797

図1-1. JVN iPediaの登録件数の四半期別推移

1-2. 【注目情報1】「BlueBorne」と呼ばれるBluetoothの脆弱性について

~全8件の脆弱性のうち半数の4件が深刻度「危険」、早急な脆弱性対策を~

 2017年9月、Bluetooth(*4)に「BlueBorne」と呼ばれる脆弱性が存在することが海外のセキュリティベンダ(*5)から公表されました。本脆弱性は、AndroidやiOS、Windows、Linuxなどで広く利用されているBluetoothの実装に存在し、脆弱性の発見者によると82億デバイスを超える Blue-tooth機能を持つすべてのデバイスに影響を与える可能性がある、という情報が公表されています。対象となる製品などのデバイスが多数存在しており、被害が発生した場合の影響も大きいことから、IPAでは広く一般向けに緊急対策情報を公開(*6)しています。

 表1-2はJVN iPediaに登録された「BlueBorne」に関する脆弱性対策情報の一覧です。CVSSv2(基本値)に着目すると、全8件の脆弱性のうち半数の4件が深刻度「危険」となっています。

表1-2. JVN iPediaで公開している「BlueBorne」に関する脆弱性対策情報

 これらの脆弱性を悪用された場合、デバイスに記録されている機密情報が、攻撃者により窃取される、あるいはボットやランサムウェアをはじめとするマルウェア(ウイルス)に感染させられ遠隔操作で機器を乗っ取られる、などの被害を受ける可能性があります。  Bluetooth機能を持つPCやスマートフォンなどのデバイスを利用する使用者は、デバイスを提供するベンダのセキュリティ情報を確認し、当該脆弱性の対象となっている場合にはアップデートなどの対策を実施してください。またBluetooth機能を必要としない場合には、接続の設定を無効とすることで本脆弱性の影響を回避できます。
 なお、IPAでは「重要なセキュリティ情報」を自組織内でいち早くキャッチできる、サイバーセキュリティ注意喚起サービス「icat for JSON」(*7)を提供しています。是非ご活用ください。

1-3. 【注目情報2】Apache Struts2の脆弱性対策情報について

~直近1年間に登録した脆弱性対策情報は8件、その内の3件は最も深刻度の高い「危険」~

 約1.4億人に及ぶ顧客の氏名やクレジットカード情報などが流出した可能性があると、個人情報を取り扱う米国の大手信用情報会社から、2017年9月に公表(*8)されました。同社が公表した情報によると、悪用されたのは2017年3月に公開済のApache Struts2の脆弱性(JVNDB-2017-001621)であることが分かっています(*9)。IPAでは、本脆弱性を悪用した攻撃が発生することを予見して、2017年3月に緊急対策情報(*10)を発信していました。
 また、上記と異なるApache Sturuts2の脆弱性(JVNDB-2017-006931)が2017年9月に公開されており、これについても攻撃コードが存在し被害が発生する可能性があったため、IPAは2017年9月に注意喚起情報(*11)を発信しています。

 表1-3は直近1年間(2016年10月1日~2017年9月30日)にJVN iPediaに登録された、Apache Struts2に関する脆弱性対策情報の一覧です。直近1年間では上記2件を含む、合計8件のApache Struts2に関する脆弱性対策情報を登録公開しています。

表1-3. JVN iPediaで公開しているApache Struts2に関する脆弱性対策情報
(対象期間:2016年10月1日~2017年9月30日)

 上述したJVNDB-2017-001621の脆弱性情報は、CVSSv2基本値の中で最も深刻度が高い「危険(10.0)」です。この他の2件を含め、8件中3件が最も深刻度の高い「危険」となっています。 Apache Struts2を利用するシステムの管理者は、日頃からソフトウェア提供元のベンダ情報(*12)やセキュリティベンダの情報を収集し迅速な脆弱性対策を実施することが重要です。IPAでは「Apache Struts2 の脆弱性対策情報一覧」(*13)を公開していますので、セキュリティ情報を収集する際の一助としてご活用ください。

脚注

(*1) Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
https://jvn.jp/別ウィンドウで開く

(*2) National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
https://www.nist.gov/別ウィンドウで開く

(*3) National Vulnerability Database。NISTが運営する脆弱性データベース。
https://nvd.nist.gov別ウィンドウで開く

(*4) 無線通信の規格の1つ。例えばノートパソコンやスマートフォンにおいて短距離無線でキーボードやイアホンなどを接続する際などに利用される。

(*5) BlueBorne Information from the Research Team - Armis Labs
https://www.armis.com/blueborne/別ウィンドウで開く

(*6) IPA:Bluetooth の実装における複数の脆弱性について
https://www.ipa.go.jp/security/ciadr/vul/20170914_blueborne.html

(*7) IPA:サイバーセキュリティ注意喚起サービス「icat for JSON」
https://www.ipa.go.jp/security/vuln/icat.html

(*8) Equifax Announces Cybersecurity Incident Involving Consumer Information
https://investor.equifax.com/news-and-events/news/2017/09-07-2017-213000628別ウィンドウで開く

(*9) Equifax Releases Details on Cybersecurity Incident, Announces Personnel Changes
https://investor.equifax.com/news-and-events/news/2017/09-15-2017-224018832別ウィンドウで開く

(*10) IPA:Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045)(S2-046)
https://www.ipa.go.jp/security/ciadr/vul/20170308-struts.html

(*11) IPA:Apache Struts2 の脆弱性対策について(CVE-2017-9805)(S2-052)
https://www.ipa.go.jp/security/ciadr/vul/20170906-struts.html

(*12) Apache Struts 2 DocumentationSecurity Bulletins
https://struts.apache.org/docs/security-bulletins.html別ウィンドウで開く

(*13) IPA:Apache Struts2 の脆弱性対策情報一覧
https://www.ipa.go.jp/security/announce/struts2_list.html

資料のダウンロード

参考情報

アンケートのお願い

まもるくんからのお願い  よろしければ今後のサービス向上を図るため、「脆弱性対策情報データベースJVN iPediaの登録状況[2017年第3四半期(7~9月)]」に関するアンケートにご協力ください。

アンケート画面へ

本件に関するお問い合わせ先

IPA セキュリティセンター 渡邉/土屋
E-mail: