HOME情報セキュリティ情報セキュリティ対策脆弱性対策ソフトウェア等の脆弱性関連情報に関する届出状況2007年第1四半期

本文を印刷する

情報セキュリティ

ソフトウェア等の脆弱性関連情報に関する届出状況2007年第1四半期

掲載日 2007年4月19日

独立行政法人 情報処理推進機構
セキュリティセンター

独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原 武平太)および有限責任中間法人JPCERTコーディネーションセンター(略称:JPCERT/CC、代表理事:歌代 和正)は、2007年第1四半期(1月~3月)の脆弱性関連情報の届出状況(*1)をまとめました。

今四半期の呼びかけ:

「ウェブサイトやソフトウェア製品の企画・設計段階から
情報セキュリティを考慮した品質を作り込みましょう!」

―「安全なウェブサイトの作り方」
「セキュア・プログラミング講座」「C/C++セキュアコーディング」(*2)などを参考に―

1. 2007年第1四半期の届出状況

 表1に示すように、2007年1月1日から3月31日までのIPAへの脆弱性関連情報の届出件数は、ソフトウェア製品に関するもの36件、ウェブアプリケーション(ウェブサイト)に関するもの95件、合計131件でした。

 届出受付開始(2004年7月8日)からの累計は、ソフトウェア製品に関するもの455件、ウェブサイトに関するもの844件、合計1,299件で、ウェブサイトに関する届出が全体の3分の2を占めています。

表1.2007年第1四半期の届出件数

分類 届出件数 累計件数
ソフトウェア製品 届出 36件 455件
脆弱性公表 28件 170件
ウェブアプリケーション
(ウェブサイト)
届出 95件 844件
修正完了 53件 456件

(1)四半期毎の届出状況の推移

 図1(*3)に示すように、届出受付開始(2004年7月8日)から各四半期末時点までの就業日1日あたりの届出件数が増加してきており、2007年第1四半期末で1.95件となりました。近年、着実に増加しており、就業日1日あたり2件に近づいています。

・就業日1日あたりの届出件数(届出受付開始から各四半期末時点)

2005/1Q 2005/2Q 2005/3Q 2005/4Q 2006/1Q 2006/2Q 2006/3Q 2006/4Q 2007/1Q
1.45 1.43 1.58 1.59 1.61 1.70 1.75 1.92 1.95

-

2. ソフトウェア製品の脆弱性

(1)2007年第1四半期から脆弱性の深刻度評価(*4)を開始しました

 2007年2月22日から、FIRST(*5)の場で適用推進などが行われている共通脆弱性評価システムCVSS(*6)を用い、ソフトウェア製品の脆弱性の深刻度評価を開始しました(*7)

 CVSSは、脆弱性そのものの特性を評価する「基本評価基準(Base Metrics)」、攻撃コードの出現有無や対策情報の利用可否などの現状の深刻度を評価する「現状評価基準(TemporalMetrics)」、製品利用者が対象製品の使用状況や攻撃を受けた場合の二次的な被害の大きさから最終的に深刻度を評価する「環境評価基準(Environmental Metrics)」から構成されます。

(2)脆弱性の深刻度評価にはCVSS基本値を用いています

 IPAでは、ソフトウェア製品の脆弱性の深刻度評価は、CVSSの「基本評価基準(Base Metrics)」を用い、CVSS基本値(Base Score)を算出し、脆弱性そのものの特性について深刻度評価を行っています。

 表2に示すように、CVSS基本値は、脆弱性に対する攻撃がインターネット経由で可能か否か、攻撃に必要な条件の複雑さはどうか、攻撃前に認証(Authentication)が必要か否か、などの項目を評価して算出します。

 また、情報システムに求められるセキュリティ特性、「機密性(Confidentiality Impact)」、「完全性(Integrity Impact)」、「可用性(Availability Impact)」の3つの要素に対する影響度も加味して算出します。

 CVSS基本値は、機密性・完全性・可用性の3つの要素に同時に影響を与えるものほど高くなります。

-

(3)2007年第1四半期末までに公表した脆弱性の深刻度

 届出受付開始から2007年第1四半期末までにJVN(*8)で脆弱性対策情報を公表した170件のソフトウェア製品の脆弱性の深刻度は図2にのようになっています。

 レベルIII(危険)が18件、レベルII(警告)が7件、レベルI(注意)が145件ありました。レベルIII(危険)やレベルII(警告)に分類される深刻度の高いものには、OSコマンドインジェクション、SQLインジェクション、バッファオーバーフローなどの脆弱性がありました。

(4)2007年第1四半期に公表した脆弱性の概要

 2007年第1四半期にJVNで公表した28件のソフトウェア製品の脆弱性の中に、深刻度が高いレベルIII(危険)が1 件、レベルII(警告)が2件ありました(別紙1表1-2項番1,2,3)。レベルII(警告)の2件は、RSS(*9)情報を取り扱う製品です。RSS関連はレベルI(注意)にも2件(別紙1表1-2項番6,13)あり、計4件ありました。

 RSSは、ウェブサイトの更新情報やニュース情報の配信などを利用者が効率的に把握できる技術として普及してきています。外部情報を定期的に取得する機能を持つソフトウェア製品は、情報セキュリティを考慮した品質の作り込みが特に重要です。

3. ウェブサイトの脆弱性

 届出受付開始(2004年7月8日)から2007年第1四半期末までに届出を受付た累計844件のうち、不受理62件を除いた782件のウェブサイトの運営主体は、企業合計が70%、各種協会・社団法人などの団体が9%、個人サイトが8%などとなっています(図3)。

 また、届出対象のウェブサイト数で見ると、累計578サイトに対して届出があり、一つのウェブサイトに対して1件の届出があったものは86%、同一ウェブサイトに2件~4件の届出があったものが12%、5件~9件が1%、10件以上が1%ありました(図4)。

 同一ウェブサイトに対する複数の届出の中には、届出られたウェブページ以外のウェブページにも脆弱性があった事例がありました。また、一度、脆弱性を対策しても、ウェブサイトの更新や再構築などにより、新たな脆弱性を作り込んだ事例もありました。

 ウェブサイト運営者は、一過性のセキュリティ対策ではなく、情報セキュリティマネジメントとして継続的にセキュリティ対策および運用を行い、セキュリティレベルを保つことが重要です。

-

『脚注』

(*1)ソフトウェア等の脆弱性関連情報に関する届出制度:経済産業省告示に基づき、2004年7月より開始しました。IPAは届出受付・分析、JPCERT/CCは国内の製品開発者などの関連組織との調整を行っています。

(*2)「安全なウェブサイトの作り方 改訂第2版」:
http://www.ipa.go.jp/security/vuln/websecurity.html
「セキュア・プログラミング講座」:
http://www.ipa.go.jp/security/awareness/vendor/programming/index.html
「C/C++ セキュアコーディング」:
http://www.jpcert.or.jp/securecording_book.html

(*3)2006年第4四半期に公表した四半期別届出件数の推移のグラフから、2006/4Qにウェブサイトに関して届出られた1件を、ソフトウェア製品に関する届出として変更するなどを変更しました。

(*4)脆弱性の深刻度評価:
http://www.ipa.go.jp/security/vuln/SeverityLevel.html

(*5)FISRT:Forum of Incident Response and Security Teams。
http://www.first.org/

(*6)CVSS:Common Vulnerability Scoring System。
http://www.ipa.go.jp/security/vuln/SeverityCVSS.html

(*7)脆弱性関連情報の調査結果:
http://www.ipa.go.jp/security/vuln/documents/index.html

(*8)JVN:脆弱性対策情報ポータルサイトです。国内製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPAおよびJPCERT/CCが共同で運営しています。
http://jvn.jp/

(*9)RSS:RDF(Resource Description Framework) Site Summary。主にウェブサイトの更新情報を公開するのに使用されている構造化されたデータ形式。

■届出内容の詳細(別紙1、参考資料を含む)は次のPDFファイルをご参照ください。

お問い合わせ先

独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)

TEL:03-5978-7527 FAX:03-5978-7518
E-mail:電話番号:03-5978-7501までお問い合わせください。