HOME情報セキュリティ情報セキュリティ対策脆弱性対策ソフトウェア等の脆弱性関連情報に関する届出状況[2017年第4四半期(10月~12月)]

本文を印刷する

情報セキュリティ

ソフトウェア等の脆弱性関連情報に関する届出状況[2017年第4四半期(10月~12月)]

掲載日 2018年1月25日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター

  • 以下は、「ソフトウェア等の脆弱性関連情報関する届出状況」1章の抜粋です。

1. 2017年第4四半期 ソフトウェア等の脆弱性関連情報に関する届出状況

1-1. 脆弱性関連情報の届出状況

 ~脆弱性の届出件数の累計は13,523件~

 表1-1は情報セキュリティ早期警戒パートナーシップ(*1)における2017年第4四半期(以降「本四半期」)の脆弱性関連情報の届出件数、および届出受付開始(2004年7月8日)から本四半期末までの累計を示しています。本四半期のソフトウェア製品に関する届出件数は37件、ウェブアプリケーション(以降「ウェブサイト」)に関する届出は33件、合計70件でした。届出受付開始からの累計は13,523件で、内訳はソフトウェア製品に関するもの3,895件、ウェブサイトに関するもの9,628件でウェブサイトに関する届出が全体の約7割を占めています。

 図1-1は過去3年間の届出件数の四半期ごとの推移を示したものです。本四半期は、ウェブサイトよりもソフトウェア製品に関して多くの届出がありました。表1-2は過去3年間の四半期ごとの届出の累計および1就業日あたりの届出件数の推移です。本四半期の1就業日あたりの届出件数は4.11(*2)件でした。

表1-1.届出件数
分類 本四半期件数 累計
ソフトウェア製品 37 3,895
ウェブサイト 33 9,628
合計 70 13,523

 

図1-1. 脆弱性関連情報の届出件数の四半期ごとの推移

 

表1-2.届出件数(過去3年間)
  2015 2016 2017
1Q 2Q 3Q 4Q 1Q 2Q 3Q 4Q 1Q 2Q 3Q 4Q
累計届出件数
[件]
10,896 11,058 11,269 11,504 11,689 12,441 12,674 12,919 13,061 13,332 13,453 13,523
1就業日あたり
[件/日]
4.17 4.13 4.11 4.11 4.09 4.26 4.25 4.25 4.21 4.21 4.17 4.11

 

 また、図1-2は、届出受付開始から2017年12月末までの届出件数の年ごとの推移です。過去、最も届出が多かった年は、2008年(2,622件)でした。2017年はソフトウェア製品が462件、ウェブサイトが142件の合計604件でした。昨年に引き続きソフトウェア製品がウェブサイトの届出件数を上回り全体の7割以上を占めています。またウェブサイトの届出は昨年に比べ半減しました。

表1-2.脆弱性関連情報の届出件数の年ごとの推移

1.2. 脆弱性の修正完了状況

 ~ソフトウェア製品およびウェブサイトの修正件数は累計8,809件~

 表1-3は本四半期、および届出受付開始から本四半期末までのソフトウェア製品とウェブサイトの修正完了件数を示しています。ソフトウェア製品の場合、修正が完了するとJVNに公表しています(回避策の公表のみでプログラムの修正をしていない場合を含む)。

 本四半期にJVN公表したソフトウェア製品の件数は40件(*3)(累計1,704件)でした。そのうち、6件は製品開発者による自社製品の脆弱性の届出でした。なお、届出を受理してからJVN公表までの日数が45日(*4)以内のものは5件(13%)でした。

 また、修正完了したウェブサイトの件数は23件(累計7,105件)でした。修正を完了した23件のうち、ウェブアプリケーションを修正したものは19件(82%)、当該ページを削除したものは4件(18%)で、運用で回避したものはありませんでした。なお、修正を完了した23件のうち、ウェブサイト運営者へ脆弱性関連情報を通知してから90日(*5)以内に修正が完了したものは14件(61%)でした。本四半期は、90日以内に修正完了した割合が、前四半期(60件中33件(55%))より増加しています。

 また、図1-3は、届出開始から2017年12月末までの修正完了件数の年ごとの推移を示しています。過去、修正を完了した件数が最も多かった年は2009年の1,401件でした。2017年は、ソフトウェア製品が322件、ウェブサイトが226件の合計548件でした。2017年はソフトウェア製品の修正件数が最も多かった1年でした。

表1-3.修正完了(JVN公表)
分類 本四半期件数 累計
ソフトウェア製品 40 1,704
ウェブサイト 23 7,105
合計 63 8,809

図1-3.脆弱性関連情報の届出件数の年ごとの推移

1.3. 連絡不能案件の取扱状況

 本制度では、調整機関から連絡が取れない製品開発者を「連絡不能開発者」と呼び、連絡の糸口を得るため、当該製品開発者名等を公表して情報提供を求めています(*6)。製品開発者名を公表後、3ヶ月経過しても製品開発者から応答が得られない場合は、製品情報(対象製品の具体的な名称およびバージョン)を公表します。それでも応答が得られない場合は、情報提供の期限を追記します。情報提供の期限までに製品開発者から応答がない場合は、当該脆弱性情報の公表に向け、「情報セキュリティ早期警戒パートナーシップガイドライン」に定められた条件を満たしているかを公表判定委員会(*7)で判定します。その判定を踏まえ、IPAが公表すると判定した脆弱性情報はJVNに公表されます。

 本四半期は、連絡不能開発者として新たに製品開発者名を公表したものはありませんでした。

 本四半期末時点の連絡不能開発者の累計公表件数は251件、そのうち、製品情報を公表しているのは230件になります。また、2017年12月に第1回目の公表判定委員会を開催し、4件の脆弱性情報について判定しました。

1-4. JVNで公表した脆弱性について

 1-4-1. 複数の製品のDLL読み込みの脆弱性

 ~影響を受ける製品が多い脆弱性、しかし悪用は困難~

 2017年に JVN(Japan Vulnerability Notes)にて公表されたDLL 読み込みの脆弱性は70件で(表1-4-1)それ以前(2016年:42件、2015年:4件)と比べて著しく増加しています。

表1-4-1.JVNで公表されたDLL読み込みの脆弱性の一覧

表1-4-1.JVNで公表されたDLL読み込みの脆弱性の一覧

 DLL 読み込みの脆弱性は、Windowsアプリケーションの実行時の動作を悪用するものです。Windowsアプリケーションは、実行時に同じフォルダーに格納されている DLL ファイルを優先的に読み込む動作をします。この動作を悪用し、同じフォルダーに悪意のあるコードを含むDLLファイルを配置しておくことで、このDLLファイルを読み込ませ実行させます。

 この脆弱性は、ユーザの利用端末上で悪意のあるコードを実行されるという点では危険な脆弱性であると言えます。しかしながら、Windowsアプリケーションの実行時に、同じフォルダーに悪意のあるDLLファイルを配置するという前提条件は現実的には厳しく、またユーザが適切に注意することで攻撃を防ぐことが可能であるため、実際に悪用され、被害が報告された事例はほとんど確認されていません。

 IPAでは、この脆弱性に関する注意喚起(【注意喚起】Windowsアプリケーションの利用における注意)を実施し、一般の利用者向けに、この脆弱性に関する注意を広く呼び掛けました。

また、この脆弱性は産業制御システムで用いられる製品でも確認されています。米国DHS(国土保安省)で制御システム・セキュリティを担当するICS-CERTが、2017年に公表した産業制御システムで用いられる製品におけるDLL 読み込みの脆弱性対策情報は16件でした。これについても、それ以前(2014年:1件、2015年:5件、2016年:2件、2017年:16件)と比べて増加傾向にあります。

このように、この脆弱性は攻撃のための前提条件が厳しいとはいえ、影響範囲は多岐にわたるものであり、攻撃が成功した際の影響も大きいものとなります。

利用者側で行える対策として、アプリケーションをダウンロードする場合は、新規に作成したフォルダーに保存する事や、既にダウンロードフォルダーに保存ているファイルを、別のフォルダーへ移動する等して、不審なファイルが存在しない環境で実行することがあげられます。また、止むを得ず他のファイルが存在するフォルダー内でアプリケーションを実行する場合は、同じフォルダー内に不審なファイルが存在しないか確認するといった対策を心がける必要があります。

 1-4-2. システムに潜在する脆弱性を狙う攻撃に注意

 ~古くから知られている脆弱性が残されていないか見直しを~

 日々新しい脆弱性やその攻撃手法が登場しており、最新のセキュリティ情報を収集することが重要です。しかし、その一方で古くから知られている脆弱性への対応も疎かにならないように注意しなければなりません。

2017年には、XXE(XML External Entity)という脆弱性が届け出られました。この脆弱性は複数件届け出られており、そのうちの1件については既に対策が完了し、脆弱性対策情報がJVNにおいて公表されている状況です。

XXEは、OWASP Top 10 - 2017 にて、セキュリティリスクの Top 10 に数えられており、何らかの形でXMLを解析するほとんどすべてのWebアプリケーションに影響する脆弱性です。

XXEはWebアプリケーションがXMLを解釈する際の処理を悪用して、リクエストを偽造する脆弱性および攻撃手法を指します。具体的には、XMLで用いられるDTDと呼ばれるデータ型を定義するスキーマ言語に対し、不正な文字列を挿入することにより、XMLを解析するWebアプリケーションを誤作動させ、本来意図されていない悪意のある操作を実行するものです。この脆弱性を悪用された場合、サーバ上の情報が漏えいしたり、サービス運用妨害 (DoS)等の攻撃を受けたりする可能性があります。(図1-4-1)

XXEは他の脆弱性ほど一般的ではありませんが、新しい脆弱性というわけではなく、2000年代前半から確認されていることから、むしろ古い脆弱性であると言えます。

しかし、多くのWebアプリケーションや製品には、脆弱性の残る古いXML処理システムが残されており、攻撃が成功しやすいことから脅威として注目されています。

図1-4-1.XXEの脆弱性を悪用するイメージ図

図1-4-1.XXEの脆弱性を悪用するイメージ図

XXEの対策としては、DTD自体の無効化、XMLプロセッサ(XMLパーサ)およびライブラリ(例えばlibxml2等)のアップグレード、サーバー側の入力検証(フィルタリング、またはサニタイズ)の実装等を製品開発者やウェブサイト運営者が適切に行う必要があります。製品開発者は、最新の脆弱性情報を収集して、自身が提供している製品について、影響が無いかを確認し、影響がある場合は脆弱性対策をして、利用者に修正版を提供してください。

また、自社製品の脆弱性を自社内のみで見つけるのは困難な場合があります。製品の脆弱性は、製品の利用者やセキュリティ研究者等によって発見される場合もあるため、自社製品に脆弱性が発見された場合に備え、脆弱性情報を受け付ける窓口を設けておくことを推奨します。

 

脚注

(*1) 情報セキュリティ早期警戒パートナーシップガイドライン
https://www.ipa.go.jp/security/ciadr/partnership_guide.html
https://www.jpcert.or.jp/vh/index.html別ウィンドウで開く

(*2) 1就業日あたりの届出件数は、「累計届出件数」/「届出受付開始からの就業日数」にて算出。

(*3) P.12 表2-3 参照

(*4) JVN公表日の目安は、脆弱性の取扱いを開始した日時から起算して45日後としています。

(*5) 対処の目安は、ウェブサイト運営者が脆弱性の通知を受けてから、3ヶ月以内としています。

(*6) 連絡不能開発者一覧:
https://jvn.jp/reply/index.html別ウィンドウで開く

(*7) 連絡不能案件の脆弱性情報を公表するか否かを判定するためにIPAが組織します。
法律、サイバーセキュリティ、当該ソフトウェア製品分野の専門的な知識や経験を有する専門家、かつ、当該案件と利害関係のない者で構成されています。

資料のダウンロード

参考情報

アンケートのお願い

まもるくんからのお願い   よろしければ今後のサービス向上を図るため、「ソフトウェア等の脆弱性関連情報に関する届出状況」に関するアンケートにご協力ください。

      アンケート画面へ

本件に関するお問い合わせ先

IPA セキュリティセンター 渡辺/板橋
Tel: 03-5978-7527 Fax: 03-5978-7552
E-mail: 電話番号:03-5978-7527までお問い合わせください。

JPCERT/CC 情報流通対策グループ 久保
Tel: 03-3518-4600 Fax: 03-3518-4602
E-mail: 電話番号:03-3518-4600までお問い合わせください。

更新履歴

2018年01月25日 掲載