HOME情報セキュリティ情報セキュリティ対策脆弱性対策ソフトウェア等の脆弱性関連情報に関する届出状況[2012年第2四半期(4月~6月)]

本文を印刷する

情報セキュリティ

ソフトウェア等の脆弱性関連情報に関する届出状況[2012年第2四半期(4月~6月)]

掲載日 2012年7月23日
独立行政法人 情報処理推進機構
セキュリティセンター

2012年第2四半期 ソフトウェア等の脆弱性関連情報に関する届出状況

1. 脆弱性関連情報の届出状況

 ~脆弱性の届出件数の累計が7,752件になりました~

 表1は2012年第2四半期のIPAへの脆弱性関連情報の届出件数および届出受付開始(2004年7月8日)から今四半期までの累計件数を示しています。今期の届出件数はソフトウェア製品に関するもの45件、ウェブサイト(ウェブアプリケーション)に関するもの124件、合計169件でした。届出受付開始からの累計件数は、ソフトウェア製品に関するもの1,383件、ウェブサイトに関するもの6,369件、合計7,752件となりました。ウェブサイトに関する届出が全体の82%を占めています。

 図1のグラフは過去3年間の届出件数の四半期別推移を示したものです。今四半期のソフトウェア製品の届出は前四半期と比較して微減となり、ウェブサイトに関する届出は前四半期の約6割となっています。表2は過去3年間の四半期別の累計届出件数および1就業日あたりの届出件数の推移です。1就業日あたりの届出件数は2012年第2四半期末で3.99(*1)件となりました。

表1.届出件数
分類 今期件数 累計件数
ソフトウェア製品 45 1,383
ウェブサイト 124 6,369
合計 169 7,752

図1. 脆弱性関連情報の届出件数の四半期別推移

表2.届出件数(過去3年間)
  2009 2010 2011 2012
3Q 4Q 1Q 2Q 3Q 4Q 1Q 2Q 3Q 4Q 1Q 2Q
累計届出件数
[件]
5,824 5,975 6,146 6,300 6,414 6,481 6,569 6,652 6,887 7,314 7,583 7,752
1就業日あたり
[件/日]
4.56 4.47 4.40 4.32 4.22 4.10 4.01 3.92 3.91 4.02 4.03 3.99

 図2のグラフは今四半期に届出されたソフトウェア製品の届出45件のうち、不受理とした届出を除いた42件の製品種類の内訳を、図3はソフトウェア製品の脅威(*2)の内訳を示したものです。製品種類で分類すると「ウェブアプリケーションソフト(*3)」が最も多く、次いで「ルータ」と「グループウェア」となっています。脅威で分類すると「任意のスクリプトの実行」が最も多く、これに「サービス不能」、そして「なりすまし」が次いでいます。

(左)図2. 今四半期のソフトウェア製品種類の内訳、(右)図3. 今四半期のソフトウェア製品の脅威の内訳

 図4のグラフは今四半期に届出されたウェブサイトの届出124件のうち、不受理とした届出を除いた123件のウェブサイト運営主体の内訳を、図5は脆弱性の種類の内訳を示したものです。運営主体は「企業」が全体の71%を占めています。また、脆弱性の種類は前四半期と同様に「クロスサイト・スクリプティング」が最も多く、全体の87%を占めています。

(左)図4. 今四半期のウェブサイト運営主体の内訳、(右)図5. 今四半期の脆弱性の種類の内訳

2. 脆弱性の修正完了状況

 ~ソフトウェア製品およびウェブサイトの修正件数が4,900件を超過しました~

 表3は2012年第2四半期のソフトウェア製品とウェブサイトの修正完了件数および届出受付開始から今四半期までの累計件数を示しています。

 ソフトウェア製品の脆弱性の届出のうち、JPCERT/CCが調整を行い、製品開発者が修正を完了し、2012年第2四半期にJVNで対策情報を公表したものは33件(*4)(累計639件)でした。2010年第4四半期以降は修正完了件数が30件前後で推移しています。

 今四半期に対策情報を公表した33件のうち、届出を受理してから公表までに45日以上経過した届出は23件でした。IPAおよびJPCERT/CCは、届出された脆弱性への対策および、製品利用者に対する脆弱性対策情報の公表への協力を引き続き製品開発者に期待します。

 ウェブサイトの脆弱性関連情報の届出のうち、IPAがウェブサイト運営者に通知を行い、 2012年第2四半期に修正を完了したものは192件(累計4,265件)でした。修正を完了した192件の対策内容の内訳は、ウェブアプリケーションを修正したものが173件(90%)、当該ページを削除したものが19件(10%)でした。なお、修正を完了した192件のうち67件(35%)は、届出から修正完了まで90日以上経過していました。IPAはウェブサイト運営者による、速やかな対策実施を期待します。

表3. 修正完了件数
分類 今期件数 累計件数
ソフトウェア製品 33 639
ウェブサイト 192 4,265
合計 225 4,904

3. ソフトウェア製品の脆弱性関連情報に関する届出の傾向

 ~CMSもしくはCMSのプラグインにおける脆弱性~

 2012年は、CMS(*5)やCMSのプラグインの脆弱性を悪用した攻撃による被害が確認されています。

 過去1年間に受理したソフトウェア製品の届出において、CMSもしくはCMSプラグインにおける脆弱性の届出は169件のうち22件(13%)であり、全届出に占める割合は少ない状況です(図6)。 今四半期に受理したソフトウェア製品の届出42件においては、9件(21%)がCMSもしくはCMSのプラグインにおける脆弱性の届出となり、全届出に占める割合が多くなっています。9件の脆弱性の種類は「クロスサイト・スクリプティング」が6件、「セッション管理の不備」が2件、「任意のプログラム実行」が1件です(図7)。また、今四半期に脆弱性が修正され対策情報をJVNで公表した33件のうち、7件(*6) (21%)がCMSもしくはCMSのプラグインでした。
 ウェブサイトの管理に利用されているCMSもしくはCMSのプラグインの脆弱性が悪用されると、ウェブサイトの内容が改ざんまたは、任意のプログラムが実行されるなどの被害が発生する可能性があります。

図6. 今四半期におけるCMSもしくはCMSのプラグイン関する届出

 ウェブサイト運営者は、ウェブサイトにおいて利用しているソフトウェア製品の脆弱性対策情報の緊密な収集(*7)と 、脆弱性対策(バージョンアップ等)の実施が必要です。

4. ウェブサイトの脆弱性関連情報に関する届出の傾向

 ~ウェブサイトの脆弱性対策は速やかに実施を~

 届出受付開始(2004年7月8日)から今四半期までに修正が完了したウェブサイトの届出のうち、90日以内に修正が完了した割合は66%でした。全届出の約半数を占めるクロスサイト・スクリプティングに関する届出のうち、2010年以降の届出について、修正までに要した日数は、2010年は67%、2011年は64%、2012年(6月末時点)は52%と、90日以内に修正が完了する割合が低下しています(図8)。これは、2012年以降に届出されたウェブサイトを運営している組織の大半が、小規模の組織または個人が運営しているウェブサイトであるため、脆弱性対策に手が回らない状況であると推察されます。

 ウェブサイトにクロスサイト・スクリプティングの脆弱性が存在する事によって、ウェブサイトの内容が改ざんされるなどの可能性があります。ウェブサイトの内容が改ざんされた結果、ウェブサイト利用者が偽のページに誘導されるなどによりフィッシング詐欺にあうなどの可能性があります。ウェブサイト利用者が被害を受けることにより、脆弱性があるウェブサイトを運営している組織自体の信用が毀損される場合があります。今四半期においてもウェブサイトの脆弱性を悪用してウェブサイトが改ざんされるという被害が発生していますので、組織として、速やかな脆弱性対策の実施が重要です。

図7. 修正までに要した日数の割合(年別)

 ウェブサイト運営者においては、脆弱性によって引き起こされる組織への影響を、技術者だけではなく、経営層も含め組織全体で認識し、脆弱性への対策は予算等の確保も含め計画的に講じることが重要です。また、届出された脆弱性について、届出された箇所以外にも同様な脆弱性が無いかの確認および、他の脆弱性がないか、全体的な見直しが実施されることを期待します。

脚注

(*1)1就業日あたりの届出件数は、「累計届出件数」/「届出受付開始からの就業日数」にて算出

(*2)ソフトウェア製品の脆弱性が悪用された場合に生じる脅威

(*3)ウェブサーバ側で動作し、サービスを提供するソフトウェア(ブログ、掲示板等)

(*4)別紙2表1-3参照

(*5)Content Management System:ウェブサイトのコンテンツ(テキストや画像など)を統合的に管理するためのウェブアプリケーションソフト。

(*6)別紙2 表1-3の項番2、4、12、13、18、20、25が該当。

(*7)脆弱性対策情報の修正およびバージョンの確認の一助として、下記をご活用ください。
脆弱性対策情報データベース「JVN iPedia」:
http://jvndb.jvn.jp/index.html
MyJVN脆弱性対策情報収集ツール:
http://jvndb.jvn.jp/apis/myjvn/mjcheck.html
MyJVN バージョンチェッカ(サーバ用):
http://jvndb.jvn.jp/apis/myjvn/vcchecksrv.html

資料のダウンロード

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター 渡辺/大森
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。

JPCERT/CC 情報流通対策グループ 古田
Tel: 03-3518-4600 Fax: 03-3518-4602
E-mail: 電話番号:03-3518-4600までお問い合わせください。

更新履歴

2012年7月23日 掲載