HOME >> 情報セキュリティ >> 脆弱性対策 >> ソフトウェア等の脆弱性関連情報に関する届出状況[2012年第4四半期(10月〜12月)]

ソフトウェア等の脆弱性関連情報に関する届出状況
[2012年第4四半期(10月〜12月)]

掲載日 2013年1月28日
独立行政法人 情報処理推進機構
セキュリティセンター

  • 以下は、「脆弱性関連情報に関する活動報告レポート」1章、2章の抜粋です。

2012年第4四半期 ソフトウェア等の脆弱性関連情報に関する届出状況

1. 2012年第4四半期の注目すべき脆弱性

 本章では、2012年第4四半期に届出のあった脆弱性関連情報の中で、注目すべき脆弱性を紹介しています。ウェブサイト運営者は、下記の事例を参考に同様の脆弱性を作り込まない様に注意してください。

1-1. HTTPSの設定不備の脆弱性について

 〜入力画面にもHTTPSの実施を〜

 HTTPSは、SSL(Secure Socket Layer)やTLS(Transport Layer Security)を用いて、ウェブブラウザとウェブサーバ間の通信を暗号化して通信内容を秘匿し、改ざんを防止するとともに、中間者攻撃を防止する手段です。このHTTPSは、ネットワーク盗聴やフィッシングサイト対策として、広く普及しています。

 ウェブサイトで正しくHTTPSが導入されていないケースが報告されています。代表的な事案として、下記のようなケースが報告されています。

1)プライベートなCA局から発行されたサーバ証明書が使用されている
2)サーバ証明書の有効期限が切れたまま使用され続けている
3)個人情報入力ページにHTTPSの導入がされていない

 3)のケースにおいては、個人情報を送信するとき、送信先のURLがHTTPSのページであっても、その個人情報を利用者に入力させる画面のURLがHTTPSとなるようにされていないケースが報告されています。このような状態でウェブサイトを運用すると、経路上で入力画面に改ざん等が行われた場合、ウェブ閲覧者は改ざんされたことに気付くことができず、結果としてHTTPSを導入した効果の一つが無くなります。

図1-1. 入力画面にHTTPSが設置されている場合といない場合の違いに関するイメージ

 図1-1は正常なHTTPSの導入例と入力画面にHTTPSを導入しない例の違いを示しています。ウェブサイト運営者は、入力画面についてもHTTPSを導入し、ウェブサイト閲覧者が安心して入力できる環境を構築しましょう。

 また、HTTP Strict Transport Security(HSTS)というウェブサイトで常にHTTPSを使用するための仕組みを導入しているサイトもあります。対策の際に、この仕組みの導入についてもご検討ください。

1-2. DOM(*1)ベースのクロスサイト・スクリプティングの脆弱性について

 図1-2は2012年に届出のあったDOMベースのクロスサイト・スクリプティングの脆弱性の四半期別の届出件数を示しています。2012年に、IPAに届出のあったDOMベースのクロスサイト・スクリプティングの脆弱性は、全体で130件あり、その内92件は第4四半期に届出られたものでした。

図1-2. 2012年のDOM Based XSSの届出件数

 第4四半期の92件の中で最も多かった届出は、アクセス解析ソフトのJavaScriptで実装された箇所に存在するもので、83件でした。アクセス解析ソフトは、利用者のブラウザから送付されるウェブサイトのアクセス元を表すリファラ情報をアクセス解析に使用しています。届出では、JavaScriptでリファラの情報を解析する処理にクロスサイト・スクリプティングの問題が内在していました。

 攻撃シナリオとしては、攻撃者が作成した罠ページを被害者が訪れ、利用者のブラウザから送付されるリファラにスクリプトを含めることで、利用者のブラウザでスクリプトが実行され、悪意あるサイトなどへ誘導することが出来てしまいます。

 DOMベースのクロスサイト・スクリプティングにおいては、主に次のような対策を行い、適切に実装することを推奨します。

  • DOM操作用のメソッドを使用する
  • 出力する内容(HTMLなのかJavaScriptコードなのか)に応じたエスケープ処理を施す
  • JavaScriptライブラリの問題の場合は、ライブラリをアップデートする

 ウェブサイト運営者は上記の対策が実施済みであるかをご確認ください。

2. 2012年第4四半期 ソフトウェア等の脆弱性関連情報に関する届出状況

2-1. 脆弱性関連情報の届出状況

 〜脆弱性の届出件数の累計が8,167件になりました〜

 IPAとJPCERT/CCは「情報セキュリティ早期警戒パートナーシップ(*2)」(以降、本制度)において届出を受け付けています。表2-1は2012年第4四半期のIPAへの脆弱性関連情報の届出件数および届出受付開始(2004年7月8日)から今四半期までの累計件数を示しています。今期の届出件数はソフトウェア製品に関するもの44件、ウェブサイト(ウェブアプリケーション)に関するもの176件、合計220件でした。届出受付開始からの累計件数は、ソフトウェア製品に関するもの1,467件、ウェブサイトに関するもの6,700件、合計8,167件となりました。ウェブサイトに関する届出が全体の82%を占めています。

 図2-1のグラフは過去3年間の届出件数の四半期別推移を示したものです。今四半期のソフトウェア製品、ウェブサイトに関する届出はともに前四半期よりも増加しています。表2-2は過去3年間の四半期別の累計届出件数および1就業日あたりの届出件数の推移です。1就業日あたりの届出件数は2012年第4四半期末で3.95(*3)件となっています。

表2-1.届出件数
分類 今期件数 累計件数
ソフトウェア製品 44 1,467
ウェブサイト 176 6,700
合計 220 8,167

図2-1. 脆弱性関連情報の届出件数の四半期別推移

表2-2.届出件数(過去3年間)
  2010 2011 2012
1Q 2Q 3Q 4Q 1Q 2Q 3Q 4Q 1Q 2Q 3Q 4Q
累計届出件数
[件]
6,146 6,300 6,414 6,481 6,569 6,652 6,887 7,314 7,583 7,753 7,947 8,167
1就業日あたり
[件/日]
4.40 4.32 4.22 4.10 4.01 3.92 3.91 4.01 4.03 3.99 3.96 3.95
2-2. 脆弱性の修正完了状況

 〜ソフトウェア製品およびウェブサイトの修正件数が5,200件を突破しました〜

 表2-3は2012年第4四半期のソフトウェア製品とウェブサイトの修正完了件数および届出受付開始から今四半期までの累計件数を示しています。

 ソフトウェア製品の脆弱性の届出のうち、製品開発者が修正を完了し、2012年第4四半期にJVNで対策情報を公表したものは25件(*4)(累計692件)でした。2010年第4四半期以降は修正完了件数が30件前後で推移しています。

 今四半期に対策情報を公表した25件のうち、届出を受理してから公表までに45日以上経過した届出は18件でした。ウェブサイトの脆弱性関連情報の届出のうち、IPAがウェブサイト運営者に通知を行い、2012年第4四半期に修正を完了したものは113件(累計4,549件)でした。修正を完了した113件を、対策方法により分類すると、ウェブアプリケーションを修正したものが92件(81%)、当該ページを削除したものが21件(19%)、運用で回避したものが0件(0%)でした。なお、修正を完了した113件のうち50件(44%)は、届出から修正完了まで90日以上経過していました。

表2-3. 修正完了件数
分類 今期件数 累計件数
ソフトウェア製品 25 692
ウェブサイト 113 4,549
合計 138 5,241
2-3. 調整不能案件の取扱い状況

 本制度において届出を受け付けたソフトウェア製品の開発者に対して、一定期間にわたり連絡を試みても連絡が取れない場合、その製品開発者を「連絡不能開発者」と位置づけています。製品開発者と連絡をとる糸口を得るために、「連絡不能開発者一覧(*5)」において段階的に製品開発者名と製品情報を公表することで、製品開発者からの連絡および関係者からの情報提供を求めています。

(1) 連絡不能開発者一覧の公表状況

 今四半期に新たに公表した「製品開発者名」は8件(累計119件)です。また、既に公表後一定期間(約3ヶ月)が経過したものの連絡が取れず、広く関係者からの情報提供を求める為に「製品開発者名」に加えて「製品情報(具体的な対象製品の名称およびバージョン)」を公表したものは0件(累計98件)でした。製品開発者から応答があったのは3件(*6)(累計16件)でした。これまでに製品開発者から応答があった16件のうち、6件が本制度における取扱いを終了しました。2012年第4四半期末の公表中件数は、103件となります。

脚注

(*1)HTMLドキュメントやXMLドキュメントをアプリケーションから操作するためのアプリケーションプログラミングインターフェース(API)

(*2)情報セキュリティ早期警戒パートナーシップガイドライン
http://www.ipa.go.jp/security/ciadr/partnership_guide.html

(*3)1就業日あたりの届出件数は、「累計届出件数」/「届出受付開始からの就業日数」にて算出

(*4)表3-3参照

(*5)連絡不能開発者一覧:
http://jvn.jp/reply/index.html

(*6)2012年第3四半期までに公表した2件、今四半期に公表した1件について、今四半期に製品開発者から応答がありました。

資料のダウンロード

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター 渡辺/大森
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。

JPCERT/CC 情報流通対策グループ 古田
Tel: 03-3518-4600 Fax: 03-3518-4602
E-mail: 電話番号:03-3518-4600までお問い合わせください。

更新履歴

2013年1月28日 掲載