ソフトウェア等の脆弱性関連情報に関する届出状況
[2013年第1四半期(1月〜3月)]
掲載日 2013年4月23日
独立行政法人 情報処理推進機構
セキュリティセンター
- 以下は、「ソフトウェア等の脆弱性関連情報に関する活動報告レポート」1章の抜粋です。
1. 2013年第1四半期 ソフトウェア等の脆弱性関連情報に関する届出状況
1.1 脆弱性関連情報の届出状況
〜脆弱性の届出件数の累計が8,444件になりました〜
「情報セキュリティ早期警戒パートナーシップ(*1)」(以降、本制度)における届出状況について、表1-1は2013年第1四半期の脆弱性関連情報の届出件数および届出受付開始(2004年7月8日)から今四半期までの累計件数を示しています。今期の届出件数はソフトウェア製品に関するもの64件、ウェブサイト(ウェブアプリケーション)に関するもの213件、合計277件でした。届出受付開始からの累計件数は、ソフトウェア製品に関するもの1,531件、ウェブサイトに関するもの6,913件、合計8,444件となりました。ウェブサイトに関する届出が全体の82%を占めています。
図1-1のグラフは過去3年間の届出件数の四半期別推移を示したものです。今四半期のソフトウェア製品、ウェブサイトに関する届出はともに前四半期よりも増加しています。表1-2は過去3年間の四半期別の累計届出件数および1就業日あたりの届出件数の推移です。1就業日あたりの届出件数は今四半期末で3.97(*2)件となっています。
| 2010 | 2011 | 2012 | 2013 | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 2Q | 3Q | 4Q | 1Q | 2Q | 3Q | 4Q | 1Q | 2Q | 3Q | 4Q | 1Q | |
| 累計届出件数 [件] |
6,300 | 6,414 | 6,481 | 6,569 | 6,652 | 6,887 | 7,314 | 7,583 | 7,753 | 7,947 | 8,167 | 8,444 |
| 1就業日あたり [件/日] |
4.32 | 4.22 | 4.10 | 4.01 | 3.92 | 3.91 | 4.01 | 4.03 | 3.99 | 3.96 | 3.95 | 3.97 |
1.2 脆弱性の修正完了状況
〜ソフトウェア製品およびウェブサイトの修正件数が5,400件を超過しました〜
表1-3は今四半期のソフトウェア製品とウェブサイトの修正完了件数および届出受付開始から今四半期までの累計件数を示しています。
ソフトウェア製品の脆弱性の届出のうち、製品開発者が修正を完了し、今四半期にJVNで対策情報を公表したものは30件(*3)(累計722件)でした。2010年第4四半期以降は修正完了件数が30件前後で推移しています。今四半期に対策情報を公表した30件のうち、届出を受理してから公表までに45日(*4)以上経過したものは28件でした。
ウェブサイトの脆弱性関連情報の届出のうち、IPAがウェブサイト運営者に通知を行い、今四半期に修正を完了したものは196件(累計4,745件)でした。修正を完了した196件のうち、ウェブアプリケーションを修正したものが172件(88%)、当該ページを削除したものが24件(12%)でした。なお、修正を完了した196件のうち154件(79%)は、届出から90日(*5)以内に修正が完了しており、前四半期(113件中63件(56%))より90日以内に修正が完了した割合が増加しています。
| 分類 | 今期件数 | 累計件数 |
|---|---|---|
| ソフトウェア製品 | 30 件 | 722 件 |
| ウェブサイト | 196 件 | 4,745 件 |
| 合計 | 226 件 | 5,467 件 |
1.3 調整不能案件の取扱い状況
本制度において届出を受け付けたソフトウェア製品の開発者に対して、一定期間にわたり連絡を試みても連絡が取れない場合、その製品開発者を「連絡不能開発者」と位置づけています。製品開発者と連絡をとる糸口を得るために、「連絡不能開発者一覧(*6)」において段階的に製品開発者名と製品情報を公表することで、製品開発者からの連絡および関係者からの情報提供を求めています。
(1) 連絡不能開発者一覧の公表状況
今四半期に新たに公表した「製品開発者名」は5件(累計124件)です。また、既に公表後一定期間(約3ヶ月)が経過したものの連絡が取れず、広く関係者からの情報提供を求めるために「製品開発者名」に加えて「製品情報(対象製品の具体的な名称およびバージョン)」を公表したものは7件(累計105件)でした。製品開発者から応答があったのは0件(累計16件)でした。これまでに製品開発者から応答があった16件のうち、7件が本制度における取扱いを終了しました。今四半期末時点における公表中件数は、108件となります。
1.4 注目すべき脆弱性
本節では、今期に届出のあった脆弱性関連情報の中で、注目すべき脆弱性「DNSの設定不備について」を紹介しています。ウェブサイト運営者は、下記の事例を参考に同様の脆弱性を作り込まない様に注意してください。
DNS(Domain Name System)は、ウェブサイトやメールをはじめとしたインターネットを支える技術の一つです。ウェブサイトにおいてもDNSによる名前解決は行われます。
ウェブサイトの名前解決に関するDNSの設定不備については、ウェブサイトの脆弱性として届出を受け付けています。今四半期には、このDNSの設定不備(「委譲」に関する設定が適切でないことに起因する問題)に関する届出がウェブサイト全体の8%に当たる15件ありました。
大規模なウェブサイトの場合、ウェブサイトで利用するドメインを管理単位に分割してサブドメインを設ける構成をとることがあります。この際、DNSサーバ側に管理範囲を指定する為の委譲設定を行います。この委譲に関する設定が適切ではない場合、第三者が本来運用できないはずのDNSサーバを適切なサーバとして参照されてしまいます。
図1-2のように、第三者のDNSサーバが適切なウェブサイトのIPアドレスを返答しないように設定されてしまうことで、利用者は適切なアドレスにアクセスしているにもかかわらず、フィッシングサイトなど悪意あるページに誘導されてしまう場合があります。
このような状況になる原因は次のような場合が考えられます。
- DNS管理業者の変更やサーバ設定の更新時の設定変更忘れ
- ミススペルなどの設定ミス(example.jp→ exmaple.jp)
詳細については、次のサイトを参考にしてください。
http://www.ipa.go.jp/security/event/2009/isec-semi/documents/2009tech2_v3.pdf
ウェブサイト運営者は、今一度DNSサーバの設定を確認してください。
脚注
(*1)情報セキュリティ早期警戒パートナーシップガイドライン
http://www.ipa.go.jp/security/ciadr/partnership_guide.html
https://www.jpcert.or.jp/vh/index.html
(*2)1就業日あたりの届出件数は、「累計届出件数」/「届出受付開始からの就業日数」にて算出
(*4)公表日の目安は、脆弱性関連情報の取扱を開始した日時から起算して45日後としています。
(*5)対処の目安は、脆弱性関連情報の通知を受けてから、3ヶ月以内としています。
(*6)連絡不能開発者一覧:
http://jvn.jp/reply/index.html
資料のダウンロード
(PDFファイル 156KB)参考情報
本件に関するお問い合わせ先
IPA セキュリティセンター 渡辺/大森
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: 
JPCERT/CC 情報流通対策グループ 古田
Tel: 03-3518-4600 Fax: 03-3518-4602
E-mail: 
更新履歴
| 2013年4月23日 | 掲載 |
|---|