脆弱性対策情報データベース JVN ipedia に関する活動報告レポート [2013 年第 3 四半期 (7 月 ~9 月 )] 脆弱性対策情報データベース JVN ipedia に関する活動報告レポートについて本レポートでは 2013 年 7 月 1 日から2013 年 9 月 30 日までの

Size: px

Start display at page:

Download "脆弱性対策情報データベース JVN ipedia に関する活動報告レポート [2013 年第 3 四半期 (7 月 ~9 月 )] 脆弱性対策情報データベース JVN ipedia に関する活動報告レポートについて本レポートでは 2013 年 7 月 1 日から2013 年 9 月 30 日までの"

ぜんすけかなり
5 years ago
Views:

1 脆弱性対策情報データベース JVN ipedia に関する活動報告レポート [213 年第 3 四半期 (7 月 ~9 月 )] 脆弱性対策情報データベース JVN ipedia に関する活動報告レポートについて本レポートでは 213 年 7 月 1 日から213 年 9 月 3 日までの間に JVN ipedia で登録をした脆弱性対策情報の統計及び事例について紹介しています独立行政法人情報処理推進機構技術本部セキュリティセンター 213 年 1 月 18 日

2 目次年第 3 四半期脆弱性対策情報データベース JVN ipedia の登録状況脆弱性対策情報の登録状況注目情報 1 ウェブサイトの改ざんに悪用されているソフトウェアについて注目情報 2 重要なシステムにおけるソフトウェアの脆弱性について JVN ipedia の登録データ分類脆弱性の種類別件数脆弱性に関する深刻度別割合脆弱性対策情報を公表した製品の種類別件数オープンソースソフトウェアの割合登録された製品の開発元 ( ベンダー ) の内訳脆弱性対策情報の活用状況

3 年第 3 四半期脆弱性対策情報データベース JVN ipedia の登録状況脆弱性対策情報データベース JVN ipedia( ) はシステム管理者が幅広いソフトウェア製品に関する脆弱性対策情報を日本語で取得し迅速に脆弱性対策に活かせるよう 1) 国内のソフトウェア開発者が公開した脆弱性対策情報 2) 脆弱性対策情報ポータルサイト JVN (*1) で公表した脆弱性対策情報 3) 米国国立標準技術研究所 NIST (*2) の脆弱性データベース NVD (*3) が公開したソフトウェアの脆弱性対策情報を集約翻訳し 27 年 4 月 25 日から公開しています 1-1. 脆弱性対策情報の登録状況 ~ 脆弱性対策情報の登録件数が累計 41, 件を超過 ~ 213 年第 3 四半期 (213 年 7 月 1 日から 9 月 3 日まで ) に JVN ipedia 日本語版へ登録した脆弱性対策情報は右表の通りとなり脆弱性対策情報の登録件数が累計 41, 件を超過しました ( 表 1-1 図 1-1) JVN ipedia 英語版へ登録した脆弱性対策情報も右表の通りとなっており累計で 949 件になっています 14, 12, 四 1, 半 8, 期件 6, 数 4, 2, 27/4/25 4Q 公開開始 21 国内製品開発者から収集したもの JVN から収集したもの NVD から収集したもの累計件数 ( 右目盛り ) 9,627 1,211 1,849 11,373 1Q 211 2Q 211 3Q ,69 4Q ,894 1Q ,934 2Q 212 情報の収集元登録件数累計件数日本語版計 1,28 件 41,816 件英語版表年第 3 四半期の登録件数国内製品開発者 2 件 149 件 JVN 13 件 2,755 件 NVD 1,148 件 38,912 件国内製品開発者 2 件 149 件 JVN 26 件 8 件 3,843 3Q 212 計 28 件 949 件 38,99 39,336 4,536 4Q 212 1Q 213 2Q ,816 3Q 累計件数図 1-1. JVN ipedia の登録件数の四半期別推移 (*1) Japan Vulnerability Notes 脆弱性対策情報ポータルサイト製品開発者の脆弱性への対応状況を公開しシステムのセキュリティ対策を支援しています IPA JPCERT/CC が共同で運営しています (*2) National Institute of Standards and Technology 米国国立標準技術研究所米国の科学技術分野における計測と標準に関する研究を行う機関 (*3) National Vulnerability Database NIST が運営する脆弱性データベース 1

4 1-2. 注目情報 1 ウェブサイトの改ざんに悪用されているソフトウェアについて ~CMS に関する脆弱性対策情報の登録は全体の約 96% 1,669 件に~ 今年に入りウェブサイト改ざんの被害が急増しています IPA でも 213 年 9 月に注意喚起 (*4) を発信し利用者に注意を促していますウェブサイトが改ざんされる要因の1つに脆弱性を含んだ古いバージョンのソフトウェアを利用している為に攻撃者に脆弱性が悪用されることが挙げられます攻撃に悪用されやすいソフトウェアには Apache Struts Parallels Plesk Panel といったウェブアプリケーションフレームワーク (*5) やミドルウェア (*6) WordPress Drupal Joomla! といった CMS(Contents Management System (*7) ) などが存在しており脆弱性対策情報も多数公開されています図は上記の攻撃に悪用されやすいソフトウェアに関する JVN ipedia での登録状況ですその数は累計 1,879 件に上り 213 年は 9 月末時点で 155 件が登録されていますソフトウェア別の件数の推移に着目すると Joomla! は 21 年をピークに最近では登録件数が減少している一方今年度は登録のほとんどが WordPress と Drupal に集中しています件数 XOOPS Movable Type Joomla! Drupal WordPress Parallels Plesk Panel Apache Struts ~ 図昨今悪用が多発しているソフトウェア等の脆弱性の登録件数の年別推移 (~213/9/3) 図は前述の図のソフトウェアについて CVSS (*8) による深刻度別件数を集計したものですこれらの脆弱性の深刻度別件数はレベル III( 危険 ) が 688 件レベル II( 警告 ) が 981 件レベル I( 注意 ) が 21 件といった件数になっておりサービス停止など深刻度がレベル II ( 警告 ) 以上のものが全 1,879 件中 1,669 件 ( 約 89%) を占めています特に WordPress Drupal Joomla! Movable Type XOOPS といった CMS に関する脆弱性対策情報は全 1,879 件中 1,87 件 ( 約 96%) となっていますまたもっとも深刻度の高いレベル III の脆弱性は 1,87 件中 66 件 (*4) (213 年 9 月 6 日付の注意喚起 ) (*5) ウェブアプリケーションの骨組みを提供し開発を助けてくれる仕組みのこと (*6) オペレーティングシステム (OS) とアプリケーションソフトの中間的な処理や動作を行うソフトウェアのこと (*7) Contents Management System ウェブサイトを簡易に構築管理するためのソフトウェアの総称 (*8) Common Vulnerability Scoring System 共通脆弱性評価システム脆弱性の基本評価基準の数値を基に I,Ⅱ,Ⅲの 3 段階とし数値が大きいほど深刻度が高いレベルⅢ: リモートからシステムを完全に制御されるような場合や大部分の情報が漏えいするような脅威レベルⅡ: 一部の情報が漏えいするような場合やサービス停止につながるような脅威レベルⅠ: 攻撃する為の条件が複雑な場合やレベルⅡに該当するが再現性が低い脅威 2

5 ( 約 36%) となっています XOOPS Movable Type レベル I ( 注意 CVSS 基本値 =.~3.9) レベル II ( 警告 CVSS 基本値 =4.~6.9) レベル III( 危険 CVSS 基本値 =7.~1.) Joomla! Drupal WordPress Parallels Plesk Panel Apache Struts 図昨今悪用が多発しているソフトウェア等の脆弱性の深刻度別件数 ( 件数 ) (~213/9/3) JVN ipedia にはウェブ改ざんに悪用されたソフトウェアをはじめとして深刻度の高い脆弱性が多数登録されています製品利用者は情報を日々収集し製品のバージョンアップなどを速やかに行ってください 1-3. 注目情報 2 重要なシステムにおけるソフトウェアの脆弱性について ~ 米国の放送局で実際に発生した緊急警報システムにおける脆弱性の悪用事例について ~ 213 年 2 月に米モンタナ州の放送局が利用していた緊急警報システムがゾンビ出現という緊急警報を流してしまう事件が発生しました事件が発生した原因は警報を受信後チェックするシステム DASDEC にあった脆弱性が攻撃者に悪用されたことが判明していますなおこの脆弱性に関する情報は JVN ipedia でも公開しています ( 表 1-2) ID(JVNDB) JVNDB JVNDB JVNDB JVNDB 表 1-2. ソフトウェア DASDEC に関する脆弱性の登録内容タイトル Digital Alert Systems DASDEC EAS および Monroe Electronics R189 One-Net EAS における root アクセス権を取得される脆弱性 Digital Alert Systems DASDEC EAS および Monroe Electronics R189 One-Net EAS における重要な情報を取得される脆弱性 Digital Alert Systems DASDEC EAS および Monroe Electronics R189 One-Net EAS における非管理者アクセス権を取得される脆弱性 Digital Alert Systems DASDEC EAS および Monroe Electronics R189 One-Net EAS におけるアクセス権を取得される脆弱性 CVSS ( 基本値 ) 今回の事件では幸いにも大きな混乱は発生しませんでしたが最悪の場合緊急警報システムが悪用され社会生活に大きな混乱を招く可能性もありましたこれまでの攻撃はその対象が主に情報系でしたが産業系や組込み系など情報系とは異なる分野のソフトウェアやシステムにも波及してきています中でも工場の生産設備等で使用される監視モニタ等の産業用制御システム (ICS: Industrial Control Systems) の脆弱性関連情報の公開が 211 年以降増えています図は JVN ipedia における産業用制御システムに関するソフトウェアの脆弱性対策情報の深刻度を示しており 213 年 9 月末時点までの累計は 413 件になっています 213 年については深刻度の高いレベル III 3

6 の脆弱性が 18 件の登録のうち 66 件と 61% を占めており前年までと同様高い傾向にあります 2 18 レベルIII( 危険 CVSS 基本値 =7.~1.) レベルII ( 警告 CVSS 基本値 =4.~6.9) 12 件レベルI ( 注意 CVSS 基本値 =.~3.9) 1 97 数 (~213/9/3) 図産業用制御システムに関するソフトウェアの脆弱性の深刻度別件数 JVN ipedia では PC やサーバで広く利用されている OS 文書作成ソフトウェブサーバソフトといった情報系のソフトウェアだけでなく社会インフラなどで利用される重要なシステムのソフトウェアの脆弱性対策情報も多数公開しています 4

7 2. JVN ipedia の登録データ分類 2-1. 脆弱性の種類別件数図 2-1 のグラフは JVN ipedia へ 213 年第 3 四半期に登録した脆弱性対策情報を共通脆弱性タイプ一覧 CWE (*9) のタイプ別に分類し集計した件数を示したものです件数は多い順に CWE-119( バッファエラー ) が 217 件 CWE-79( クロスサイトスクリプティング ) が 187 件 CWE-264( 認可権限アクセス制御の問題 ) が 13 件 CWE-2( 不適切な入力確認 ) が 115 件 CWE-399( リソース管理の問題 ) が 58 件 CWE-94( コードインジェクション ) が 54 件などとなっていますこれらは広く認知されているタイプの脆弱性です製品開発者はソフトウェアの企画設計段階からセキュリティ対策を講じこれら脆弱性の低減に努めることが求められますなお IPA ではセキュアなプログラム開発の一助となるよう参考資料としてセキュアプログラミング講座 (*1) 実習形式による脆弱性体験学習ツール AppGoat (*11) を公開しています件数 CWE 119 : バッファエラー CWE 79 : クロスサイトスクリプティング CWE 264 : 認可権限アクセス制御の問題 CWE 2 : 不適切な入力確認 CWE 399 : リソース管理の問題 CWE 94 : コードインジェクション CWE 2 : 情報漏えい CWE 89 :SQL インジェクション CWE 255 : 証明書パスワード管理 CWE 352 : クロスサイトリクエストフォージェリ CWE 119 CWE 79 CWE 264 CWE 2 CWE 399 CWE 94 CWE 2 CWE 89 CWE 255 CWE 352 図年第 3 四半期に登録した脆弱性の種類別件数 2-2. 脆弱性に関する深刻度別割合図 2-2 のグラフは JVN ipedia に登録済みの脆弱性対策情報の件数を脆弱性の深刻度別に分類し公表年別にその推移を示したものです脆弱性対策情報の公開開始から 213 年 9 月 3 日までに JVN ipedia に登録された脆弱性対策情報の深刻度はレベル III( 危険 CVSS 基本値 =7.~1.) が 44% レベル II( 警告 CVSS 基本値 =4. ~6.9) が 49% レベル I( 注意 CVSS 基本値 =.~3.9) が 7% となっていますこれら既知の脆弱性の深刻度は全体の 93% がレベル II 以上となっています既知の脆弱性による脅威を回避するため製品利用者は製品のバージョンアップやセキュリティ対策パッチの適用などを速やかに行ってください (*9) Common Weakness Enumeration 共通脆弱性タイプ一覧 (*1) (*11) 脆弱性体験学習ツール AppGoat 5

8 7, 件数 6, 5, 4, 3, レベルIII( 危険 CVSS 基本値 =7.~1.) レベルII ( 警告 CVSS 基本値 =4.~6.9) レベルI ( 注意 CVSS 基本値 =.~3.9) 3,637 6,463 5,719 5,689 4,697 4,33 5,167 3,431 2, 1, 図 2-2. 脆弱性の深刻度別件数 (~213/9/3) 2-3. 脆弱性対策情報を公表した製品の種類別件数図 2-3 のグラフは JVN ipedia に登録済みの脆弱性対策情報についてソフトウェア製品の種類別件数の年次推移を示したものです製品の種類別でみるとアプリケーションに関する脆弱性対策情報が全件のうちの 86% を占めており最も多く公表されていますまた 28 年頃以降重要インフラなどで利用される産業用制御システムに関する脆弱性対策情報が登録されるようになり 28 年 8 件 29 年 1 件 21 年 21 件 211 年 93 件 212 年 173 件 213 年は 9 月 3 日時点で 18 件その累計件数は 413 件となっており 211 年以降増えています件数 7, 6, 5, 4, 3, 産業用制御システム組込みソフトウェアアプリケーション OS 3,643 6,464 5,7245,691 5,173 4,713 4,357 3,435 2, 1, 図 2-3. 脆弱性対策情報を公表した製品の種類別件数の公開年別推移 (~213/9/3) 6

9 2-4. オープンソースソフトウェアの割合図 2-4 のグラフは JVN ipedia に登録済みの脆弱性対策情報のうちオープンソースソフトウェア (OSS) と OSS 以外のソフトウェアの公表年別推移を示したものです累計では OSS が 16,67 件の登録があります 27 年以降 OSS 以外の登録件数がそれ以前と比べて多くなっているのは NVD に登録された脆弱性対策情報の全てを JVN ipedia の登録対象にしたことが要因ですそれぞれの割合は OSS が 4% OSS 以外が 6% となっています件数 7, 6, 5, 4, 3, 2, 1, OSS 以外 OSS( オープンソースソフトウェア ) 8 OSSの割合 ( 右目盛り ) O S S の割 2175 合 (%) (~213/9/3) 図 2-4. オープンソースソフトウェア (OSS) と OSS 以外の公開年別推移登録された製品の開発元 ( ベンダー ) の内訳図図のグラフは脆弱性対策情報の公開開始から 213 年 9 月 3 日までに JVN ipedia に登録された製品の開発元 ( ベンダー ) を分類したものです OSS ベンダーと OSS 以外のベンダーを国内ベンダー海外ベンダー ( 日本法人有り ) 海外ベンダー( 日本法人無し ) でそれぞれ示しています最も割合が多いのは日本法人の無いベンダーの製品です OSS ベンダーは 96.3% OSS 以外は 91.4% となっており日本法人の無い海外ベンダーの製品の脆弱性対策情報が数多く登録されていることがわかります OSS 製品は無償で利用可能な製品が多いといった手軽さがある反面安全に使用するためのサポートがベンダーなどから十分に得られない可能性がありますセキュリティパッチの適用などのノウハウを持たない利用者は特に OSS 製品の利用を慎重に検討する必要があります国内ベンダー海外ベンダー 87 ( 日本法人有り ) 7 国内ベンダー海外ベンダー 185 ( 日本法人有り ) 212 海外ベンダー ( 日本法人無し ) 海外ベンダー 417 ( 日本法人無し ) 4226 (96.3%) (91.4%) 合計 4,327 ベンダー合計 4,623 ベンダー図 OSS のベンダーの内訳図 OSS 以外のベンダーの内訳 7

10 3. 脆弱性対策情報の活用状況表 3-1 は 213 年第 3 四半期 (7 月 ~9 月 ) にアクセスの多かった JVN ipedia の脆弱性対策情報の上位 2 件を示したものです表 3-2 は国内の製品開発者から収集した脆弱性対策情報でアクセスの多かった上位 5 件を示しています表 3-1.JVN ipedia の脆弱性対策情報のアクセス上位 2 件 [213 年 7 月 ~213 年 9 月 ] # ID タイトル CVSS 基本値公開日 JVNDB Android における任意のコードを実行される脆弱性 /7/11 JVNDB VMware ESX および ESXi におけるバッファオーバーフローの脆弱性 JVNDB LAN-W3N/R シリーズにおけるアクセス制限不備の脆弱性 JVNDB Apache HTTP Server の protocol.c における HTTPOnly Cookie の値を取得される脆弱性 JVNDB Apache Struts において任意のコマンドを実行される脆弱性 JVNDB VMware ESX および ESXi におけるディレクトリトラバーサルの脆弱性 JVNDB JP1/IT Desktop Management - Manager および Hitachi IT Operations Director における権限昇格の脆弱性 JVNDB Oracle Outside In におけるバッファオーバーフローの脆弱性 JVNDB JBoss RichFaces において任意のコードが実行される脆弱性 JVNDB 複数のブロードバンドルータがオープンリゾルバとして機能してしまう問題 JVNDB Apache HTTP Server の mod_rewrite モジュールにおける任意のコマンドを実行される脆弱性 JVNDB PHP の ext/xml/xml.c におけるサービス運用妨害 (DoS) の脆弱性 JVNDB WordPress におけるクロスサイトスクリプティングの脆弱性 JVNDB Apache HTTP Server の mod_dav.c におけるサービス運用妨害 (DoS) の脆弱性 /9/ /5/ /2/ /7/ /9/ /7/ /7/ /7/ /9/ /6/ /7/ /4/ /7/12 15 JVNDB サイボウズ Office におけるセッション管理不備の脆弱性 /7/16 16 JVNDB ドコモ海外利用アプリにおける接続処理に関する脆弱性 /8/7 17 JVNDB Apache Portable Runtime ライブラリなどの製品で使用される apr_fnmatch.c および fnmatch.c におけるサー /5/27 8

11 # ID タイトルビス運用妨害 (CPU とメモリ消費 ) の脆弱性 18 JVNDB Apache Struts における任意の OGNL コードを実行される脆弱性 CVSS 基本値公開日 /7/19 19 JVNDB EC-CUBE におけるコードインジェクションの脆弱性 /6/27 2 JVNDB AQUOS フォトプレーヤー HN-PP15 におけるサービス運用妨害 (DoS) の脆弱性 /7/11 表 3-2. 国内の製品開発者から収集した脆弱性対策情報のアクセス上位 5 件 [213 年 7 月 ~213 年 9 月 ] # ID タイトル 1 JVNDB JP1/ 秘文 Advanced Edition Information Cypher における秘文フォーマットされたリムーバブルメディアを参照される脆弱性 2 JVNDB Hitachi Command Suite 製品におけるクロスサイトスクリプティングの脆弱性 3 JVNDB JVNDB JVNDB JP1/Integrated Management - TELstaff Alarm View における任意のコマンドを実行される脆弱性 JP1/Automatic Operation におけるクロスサイトスクリプティングの脆弱性 Hitachi IT Operations Director におけるバッファオーバーフローの脆弱性 CVSS 基本値公開日 /6/ /6/ /5/ /5/ /4/23 注 1)CVSS 基本値の深刻度による色分け CVSS 基本値 =.~3.9 深刻度 = レベル I( 注意 ) CVSS 基本値 =4.~6.9 深刻度 = レベル II( 警告 ) CVSS 基本値 =7.~1. 深刻度 = レベル III( 危険 ) 注 2) 公開日の年による色分け 211 年以前の公開 212 年の公開 213 年の公開 9

脆弱性対策情報データベース JVN ipedia に関する活動報告レポート [2013 年第 2 四半期 (4 月 ~6 月 )] 脆弱性対策情報データベース JVN ipedia に関する活動報告レポートについて本レポートでは 2013 年 4 月 1 日から2013 年 6 月 30 日までの

脆弱性対策情報データベース JVN ipedia に関する活動報告レポート [213 年第 2 四半期 (4 月 ~6 月 )] 脆弱性対策情報データベース JVN ipedia に関する活動報告レポートについて本レポートでは 213 年 4 月 1 日から213 年 6 月 3 日までの間に JVN ipedia で登録をした脆弱性対策情報の統計及び事例について紹介しています独立行政法人情報処理推進機構技術本部セキュリティセンター