掲載日 2008年1月18日
独立行政法人 情報処理推進機構
セキュリティセンター
独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原 武平太)および有限責任中間法人JPCERTコーディネーションセンター(略称:JPCERT/CC、代表理事:歌代 和正)は、2007年第4四半期(10月~12月)の脆弱性関連情報の届出状況(*1)をまとめました。
■届出状況の詳細(本文および別紙)は次のPDFファイルをご参照ください。
- ソフトウェア等の脆弱性関連情報に関する届出状況
[2007年第4四半期(10月~12月)]
(1.29MB)
■届出状況の本文抜粋
今四半期のトピックス:
「情報セキュリティ早期警戒パートナーシップ」による脆弱性の修正完了件数が1,000件に達しました。
1. 2007年第4四半期の概況
(1)脆弱性の届出状況
2007年第4四半期(2007年10月1日から12月31日まで)のIPAへの脆弱性関連情報の届出件数は、ソフトウェア製品に関するもの66件、ウェブアプリケーション(ウェブサイト)に関するもの80件、合計146件でした。
届出受付開始(2004年7月8日)からの累計は、ソフトウェア製品に関するもの626件、ウェブサイトに関するもの1,123件、合計1,749件で、ウェブサイトに関する届出が全体の3分の2を占めています(表1)。
| 分類 | 届出件数 | 累計件数 |
|---|---|---|
| ソフトウェア製品 | 66件 | 626件 |
| ウェブサイト | 80件 | 1,123件 |
| 計 | 146件 | 1,749件 |
図1に示すように、届出受付開始(2004年7月8日)から各四半期末時点までの業務日1日あたりの届出件数が、2007年第4四半期で2.05件となりました。届出件数は年々増加しており、脆弱性の届出制度が浸透し、潜在していた脆弱性が顕在化してきているものと考えています。
就業日1日あたりの届出件数(届出受付開始から各四半期末時点)
| 2005/1Q | 2006/1Q | 2Q | 3Q | 4Q | 2007/1Q | 2Q | 3Q | 4Q |
|---|---|---|---|---|---|---|---|---|
| 1.45 | 1.61 | 1.70 | 1.75 | 1.92 | 1.95 | 1.98 | 2.03 | 2.05 |
(2)脆弱性の修正状況
2007年第4四半期の脆弱性の修正完了件数は、ソフトウェア製品に関するもの31件、ウェブサイトに関するもの93件、合計124件でした。届出受付開始からの累計は、ソフトウェア製品に関するもの254件、ウェブサイトに関するもの748件、合計1,002件となり、1,000件に達しました(表2、図2)。
今四半期はソフトウェア製品の修正完了件数、ウェブサイトの修正完了件数ともに、過去最多となりました。
| 分類 | 修正完了件数 | 累計件数 |
|---|---|---|
| ソフトウェア製品 | 31件 | 254件 |
| ウェブサイト | 93件 | 748件 |
| 計 | 124件 | 1,002件 |
修正が完了した脆弱性について、脆弱性を攻撃された場合に想定される脅威を分析すると、ソフトウェア製品の脆弱性に関しては、「クロスサイト・スクリプティング」や「SQLインジェクション」の脅威である、「任意のスクリプトの実行」が47%、「情報の漏洩」が10%、「なりすまし」が7%、「任意のコードの実行」が6%などとなっています(図3)。
ウェブサイトの脆弱性に関しては、「本物サイトへの偽情報の表示」が33%、「データの改ざん、消去」が18%、「Cookie(*2)情報の漏洩」が16%、「個人情報の漏洩」が10%などとなっています(図4)。
IPAが2006年11月に公表した「企業における情報セキュリティ事象被害額調査」(*3)によると、実際にSQLインジェクションによる不正アクセスがあった場合、その復旧に関する費用は1件あたり5000万円から1億円の推計結果となっています。ソフトウェア製品開発者やウェブサイト運営者は、脆弱性対策を促進し、その被害を事前に防止することが重要です。
2.ソフトウェア製品の脆弱性の処理状況
2007年第4四半期のソフトウェア製品の脆弱性の処理状況は、JPCERT/CCが調整を行い、製品開発者が脆弱性の修正を完了し、JVN(*4)で対策情報を公表したものは31件でした。製品開発者からの届出のうち製品開発者が個別対応を行ったものは0件、製品開発者が脆弱性ではないと判断したものは2件、告示で定める届出の対象に該当せず不受理としたものは8件でした。
これらの取扱いを終了したものの合計は41件(累計372件)です。この結果、取扱い中(製品開発者が調査、対応中のもの)が前四半期から25件増加し、254件となりました(表3)。
| 分類 | 件数 | 累計件数 | |
|---|---|---|---|
| 修正完了 | 公表済み | 31件 | 242件 |
| 個別対応 | 0件 | 12件 | |
| 脆弱性ではない | 2件 | 31件 | |
| 不受理 | 8件 | 87件 | |
| 合計 | 41件 | 372件 | |
| 取扱い中 | 25件 | 254件 | |
今四半期のソフトウェア製品の脆弱性対策情報の公表件数は、31件と過去最多となりました。このほか、海外のCSIRT からJPCERT/CCが連絡を受けた17件(累計303件)をJVNで公表しました(図5)。
なお、2007年第4四半期において、JVNで対策情報を公表した主なものは、以下のとおりです。
(1) 「一太郎シリーズ」の脆弱性(*6)
日本語ワープロソフトの「一太郎シリーズ」の文書ファイルを読みこむ処理に、バッファオーバーフローの脆弱性が存在し、ウェブブラウザの種類によっては、悪意のあるURLにアクセスするだけで被害を受ける可能性がありました。
この脆弱性が悪用されると、システムが破壊されたり、ウイルスやボットに感染させられたりしてしまう可能性があり、10月25日にJVNで対策情報を公表しました。
(2) 「SonicStage CP」の脆弱性(*7)
音楽管理ソフトウェアの「SonicStage CP」のプレイリストファイルを取り込む処理に、バッファオーバーフローの脆弱性が存在し、12月4日にJVNで対策情報を公表しました。
本件は、製品開発者自身から届出があり、JPCERT/CCが製品開発者と調整を行ない公表したものです。今後も、製品開発者に脆弱性対策情報を利用者へ周知徹底するためのJVNの活用を求めます。
(3) 「Lhaplus」の脆弱性(*8)
電子ファイルのデータをlzh形式やzip形式などに圧縮・解凍するLhaplusに、バッファオーバーフローの脆弱性が存在しました。この製品に関して、前四半期に注意喚起を行いましたが、異なる個所に脆弱性があり、再度、11月22日にJVNで対策情報を公表しました。
また、類似の機能を持つソフトウェアの「PowerArchiver」「WinAce」にも同様の脆弱性が見つかっており、それぞれ10月5日、12月25日にJVNで対策情報を公表しました。
(4) 「AirStation シリーズ」および「BroadStation シリーズ」の脆弱性(*9)
ネットワーク機器の「AirStation シリーズ」および「BroadStation シリーズ」に組込まれたソフトウェアに、クロスサイト・リクエスト・フォージェリ(CSRF)の脆弱性があり、10月12日にJVNで対策情報を公表しました。
(5) 「Webmin」の脆弱性(*10)
OSのファイル編集やサーバ設定などを行えるようにするソフトウェアの「Windows版Webmin」に、OSコマンド・インジェクションの脆弱性が存在しました。この弱点が悪用されると、任意のOSコマンドが実行される可能性があり、10月3日にJVNで対策情報を公表しました。
また、(4)のような組込みソフトウェアの脆弱性は、今四半期までに累計で13件公表しました(図6)。対象となる組込み機器の内訳は、ルータやスイッチなどのネットワーク機器が5件、プリンタやハードディスクなどの周辺機器が3件、携帯電話が3件、DVDレコーダなどの情報家電が2件となっています(図7)。
今後、情報家電がインターネットに接続されるようになると、組込みソフトウェアの脆弱性の顕著化が予測され、組込みソフトウェアの開発者は、製品の開発段階からセキュリティの考慮が必要です。
これらのソフトウェア製品の脆弱性の処理状況の詳細は、別紙の1章を参照下さい。
3.ウェブサイトの脆弱性の処理状況
2007年第4四半期のウェブサイトの脆弱性の処理状況は、IPAが通知を行い、ウェブサイト運営者が修正を完了したものは93件、ウェブサイト運営者が脆弱性ではないと判断したものは20件、ウェブサイト運営者と連絡が不可能なものが0件、告示で定める届出の対象に該当せず不受理としたものは4件でした。
これらの取扱いを終了したものの合計は117件(累計962件)です。この結果、取扱い中(ウェブサイト運営者が調査、対応中のもの)が前四半期から37件減少し、161件となりました(表4)。
| 分類 | 件数 | 累計件数 |
|---|---|---|
| 修正完了 | 93件 | 748件 |
| 脆弱性ではない | 20件 | 131件 |
| 連絡不可能 | 0件 | 7件 |
| 不受理 | 4件 | 76件 |
| 合計 | 117件 | 962件 |
| 取扱い中 | -37件 | 161件 |
今四半期のウェブサイトの脆弱性の修正完了件数は、93件と過去最多となりました(図8)。
(1)ウェブサイトの脆弱性で90日以上も対策が完了していないものが95件となりました
IPAは、ウェブサイト運営者へ脆弱性の詳細情報を送付してから脆弱性対策の返信がない場合、1~2カ月毎にウェブサイト運営者へ、メールや郵送手段などで脆弱性対策を促しています。
今四半期は修正が長期化しているウェブサイトに対し、脆弱性が攻撃された場合の具体的な脅威を丁寧に解説するなど、特に重点的に脆弱性対策を促しました。この結果、図9に示すように、90日以上も対策が完了していないものが前四半期から22件減少し95件(前四半期は117件)となりました。
なお、300日以上も対策が完了していないものが、39件(前四半期は50件)あります。ウェブサイトの情報が盗まれてしまう可能性のあるSQLインジェクションのように、深刻度の高い脆弱性でも修正が長期化しているものがあります。ウェブサイト運営者は脆弱性を攻撃された場合の脅威を認識し、早期に対策を講じるが必要があります。
これらのウェブサイトの脆弱性の処理状況の詳細は、別紙の2章を参照下さい。
『脚注』
- (*1)ソフトウェア等の脆弱性関連情報に関する届出制度:経済産業省告示に基づき、2004年7月より開始しました。IPAは届出受付・分析、JPCERT/CCは国内の製品開発者などの関連組織との調整を行っています。
- (*2)ウェブサイトの閲覧者のコンピュータに一時的にデータを書き込んで保存させるしくみ。Cookieには閲覧者の情報や最後にサイトを訪れた日時、そのサイトの訪問回数などを記録しておくことができる。Cookieは閲覧者の識別に使われ、認証システムや、ウェブよるサービスを閲覧者ごとにカスタマイズするために利用される。
- (*3)http://www.ipa.go.jp/security/fy17/reports/virus-survey/index.html
- (*4)Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。国内で利用されている製品の脆弱性対策情報を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/ - (*5)Computer Security Incident Response Team。コンピュータセキュリティインシデント対応チーム。コンピュータセキュリティに関するインシデント(事故)への対応・調整・サポートをする組織です。
- (*6)本脆弱性の深刻度=レベルII(警告)、CVSS基本値=6.8
- (*7)本脆弱性の深刻度=レベルII(警告)、CVSS基本値=6.8
- (*8)本脆弱性の深刻度=レベルII(警告)、CVSS基本値=6.8
- (*9)本脆弱性の深刻度=レベルII(警告)、CVSS基本値=4.0
- (*10)本脆弱性の深刻度=レベルIII(危険)、CVSS基本値=9.0
お問い合わせ先
独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)
TEL:03-5978-7527 FAX:03-5978-7518
E-mail:
