脆弱性対策情報データベース JVN ipedia に関する活動報告レポート [2014 年第 4 四半期 (10 月 ~12 月 )] 脆弱性対策情報データベース JVN ipedia に関する活動報告レポートについて 本レポートでは 2014 年 10 月 1 日から 2014 年 12 月 31

Transcription

1 脆弱性対策情報データベース JVN ipedia に関する活動報告レポート [214 年第 4 四半期 (1 月 ~12 月 )] 脆弱性対策情報データベース JVN ipedia に関する活動報告レポートについて 本レポートでは 214 年 1 月 1 日から 214 年 12 月 31 日までの間に JVN ipedia で 登録をした脆弱性対策情報の統計及び事例について紹介しています 独立行政法人情報処理推進機構技術本部セキュリティセンター 215 年 1 月 27 日

2 目次 年第 4 四半期脆弱性対策情報データベース JVN ipedia の登録状況 脆弱性対策情報の登録状況 注目情報 1 脆弱性対策情報は更新情報も漏れなく収集し 対象製品に対策を 注目情報 2 産業用制御システムの脆弱性の 57% が最も深刻度の高い レベル III( 危険 ) JVN ipedia の登録データ分類 脆弱性の種類別件数 脆弱性に関する深刻度別割合 脆弱性対策情報を公表した製品の種類別件数 脆弱性対策情報の製品別登録状況 脆弱性対策情報の活用状況

3 年第 4 四半期脆弱性対策情報データベース JVN ipedia の登録状況脆弱性対策情報データベース JVN ipedia( ) は ソフトウェア製品に関する脆弱性対策情報を 27 年 4 月 25 日から日本語で公開しているものです システム管理者が迅速に脆弱性対策を行えるよう 1) 国内のソフトウェア開発者が公開した脆弱性対策情報 2) 脆弱性対策情報ポータルサイト JVN (*1) で公表した脆弱性対策情報 3) 米国国立標準技術研究所 NIST (*2) の脆弱性データベース NVD (*3) が公開した脆弱性対策情報を集約 翻訳しています 1-1. 脆弱性対策情報の登録状況 ~ 脆弱性対策情報の登録件数の累計は 51,499 件 ~ 214 年第 4 四半期 (214 年 1 月 1 日から 12 月 31 日まで ) に JVN ipedia 日本語版へ登録した脆弱性対 策情報は右表の通りとなり 脆弱性対策情報の登録 件数は 51,499 件でした ( 表 1-1 図 1-1) 登録件 数の内訳に注目をすると今四半期は JVN から収集し た件数が 1,48 件となっており 214 年第 3 四半期 までと比較すると大幅に増えています これは 9 月 5 日の 複数の Android アプリに SSL 証明書を 日本語版 英語版 表 年第 4 四半期の登録件数 情報の収集元登録件数累計件数 国内製品開発者 3 件 161 件 JVN 1,48 件 5,37 件 NVD 1,661 件 46,31 件 計 3,72 件 51,499 件 国内製品開発者 3 件 161 件 JVN 34 件 977 件 計 37 件 1,138 件 適切に検証しない脆弱性 (*4) の公表にともない 1,2 件を超える Android アプリを脆弱性関連情報 に登録し公開したためです JVN ipedia 英語版へ登録した脆弱性対策情報は上表の通り 累計で 1,138 件になりました 四半期件数 5, 4, 3, 2, 1, 国内製品開発者から収集したもの JVNから収集したもの NVDから収集したもの累計件数 ( 右目盛り ) 41,816 43,371 45,161 46,86 48,427 51,499 7, 6, 5, 4, 累計 3, 件 2, 数 1, 27/4/25 公開開始 3Q 213 4Q 213 1Q 214 2Q 214 3Q 214 4Q 214 図 1-1. JVN ipedia の登録件数の四半期別推移 (*1) Japan Vulnerability Notes 脆弱性対策情報ポータルサイト 製品開発者の脆弱性への対応状況を公開し システムのセキュリティ対策を支援しています IPA JPCERT/CC が共同で運営しています (*2) National Institute of Standards and Technology 米国国立標準技術研究所 米国の科学技術分野における計測と標準に関する研究を行う機関 (*3) National Vulnerability Database NIST が運営する脆弱性データベース (*4) JVNVU# として公開した脆弱性対策情報 2

4 1-2. 注目情報 1 脆弱性対策情報は更新情報も漏れなく収集し 対象製品に対策を ~ 商用製品にも組み込まれている OpenSSL Apache Struts Bash の脆弱性対策情報が多数公開 ~ 214 年は広く利用されている製品に影響のある脆弱性対策情報が多く公開されました その中でも 特にニュース等にも取り上げられたのがウェブサイト構築等でも利用されることが多い OpenSSL Apache Struts Bash の 3 つのソフトウェアでした 報道等によると 通信を暗号化するための OpenSSL に関する脆弱性 (*5) は国内でも攻撃に悪用され 情報漏えいの事件 (*6) が発生しました また ウェブサイトを構築する際に使用される Apache Struts の脆弱性 (*7) では 修正が不十分であったために数か月にわたり 同一の脆弱性に対して修正パッチ が分散して何度も公開されるなど 管理者は繰り返し情報収集と対策の必要に迫られました さらに Bash は UNIX 系の OS に標準搭載されているため 影響を受ける製品が多く 対象の脆弱性を標的とし た攻撃の通信も観測 (*8) されています 表 は 214 年 1 月から 12 月において JVN ipedia に登録されている脆弱性対策情報へのアク セス数上位 2 件を示したものです これらの脆弱性対策情報は JVN ipedia へのアクセス数からも 関心の高さがわかります アクセス順位 表 年の JVN ipedia のアクセス数上位 2 件 JVNDB 番号 タイトル 1 JVNDB OpenSSL における Change Cipher Spec メッセージの処理に脆弱性 19 2 JVNDB Apache Struts において ClassLoader が操作可能な脆弱性 13 3 JVNDB Windows 上で稼動する Mozilla Firefox および SeaMonkey の Cairo で使用される Pixman における任意のコードを実行される脆弱性 4 JVNDB OpenSSL の heartbeat 拡張に情報漏えいの脆弱性 21 5 JVNDB OpenSSL およびその他の製品で使用される SSL プロトコルにおける平文データを取得される脆弱性 6 JVNDB Apache Commons FileUpload におけるサービス運用妨害 (DoS) の脆弱性 7 JVNDB GNU bash における任意のコードを実行される脆弱性 7 8 JVNDB Internet Explorer に解放済みメモリ使用 (use-after-free) の脆弱性 3 9 JVNDB GNU bash におけるファイルに書き込まれる脆弱性 7 1 JVNDB SSL と TLS の CBC モードに選択平文攻撃の脆弱性 JVNDB OpenSSL の d1_both.c の dtls1_reassemble_fragment 関数における任意のコードを実行される脆弱性 12 JVNDB Apache Struts およびその他の製品で配布される Apache Commons BeanUtils における ClassLoader を操作される脆弱性 13 JVNDB QNAP QTS に OS コマンドインジェクションの脆弱性 1 14 JVNDB OpenSSL の d1_both.c の dtls1_get_message_fragment 関数におけるサービス運用妨害 (DoS) の脆弱性 15 JVNDB OpenSSL の s3_clnt.c の ssl3_send_client_key_exchange 関数におけるサービス運用妨害 (DoS) の脆弱性 16 Apache HTTP Server の protocol.c における HTTPOnly Cookie の値を JVNDB 取得される脆弱性 17 JVNDB GNU bash における任意のコマンドを実行される脆弱性 6 18 Apache HTTP Server の mod_log_config モジュールの mod_log_config.c JVNDB におけるサービス運用妨害 (DoS) の脆弱性 19 OpenSSL のモンゴメリ ラダーの実装における楕円曲線デジタル署名ア JVNDB ルゴリズムのワンタイムトークンを取得される脆弱性 2 JVNDB Android OS において任意の Java のメソッドが実行される脆弱性 2 凡例 : OpenSSL 関連 Apache 関連 Bash 関連その他 更新回数 (*5) 更新 :OpenSSL の脆弱性対策について (CVE ) (*6) 弊社会員専用 WEB サービスへの不正アクセスにより一部のお客さま情報が不正閲覧された件 (*7) 更新 :Apache Struts2 の脆弱性対策について (CVE )(CVE )(CVE ) (*8) Bash の脆弱性を標的としたアクセスの観測について ( 第 3 報 ) 3

5 表 の更新回数をみると 前述した OpenSSL Apache Struts Bash のソフトウェア製品に関する脆弱性対策情報は 1 回以上更新がされているものが複数あります これら 3 つのソフトウェアは 商用を含めた多数の製品にも多く組み込まれているため 影響を受ける製品情報の追加や対策方法の修正等に伴い JVN ipedia 上の情報も更新されます 最初の脆弱性対策情報の公開から時間の経過とともに 対策が必要な製品情報などが追加されるケースは多々あります このため システム管理者は 利用中の自システム内に脆弱性の対象となる製品が内在していないかを日々確認することが脆弱性対策にあたっては重要です また 図 は 表 のアクセス数の上位 2 件から前述したソフトウェア製品などに関する情報を件数別で集計したものです 4 件, 2.% 7 件, 35.% OpenSSL 関連 Apache 関連 Bash 関連その他 4 件, 2.% 5 件, 25.% 図 JVN ipedia 214 年アクセス数上位 2 の製品別割合 OpenSSL Apache Bash の脆弱性対策情報は 2 件中で 16 件を占めており 表 内の製品全体の 8% を占めています これらのソフトウェアについてはシステム管理者を含めた利用者からの注目度が高いことが見てとれます ウェブサイト運営者などのシステム管理者は脆弱性対策情報を随時収集し 更新された情報にも該当する脆弱性の対象製品がないか 確認してください また 情報収集の際は 脆弱性対策情報フィルタリング収集ツール ( 略称 mjcheck3) (*9) 等のツールを利用し 効率的な情報収集と迅速な対策実施を検討してください (*9) MyJVN 脆弱性対策情報フィルタリング収集ツール 4

6 1-3. 注目情報 2 産業用制御システムの脆弱性の 57% が最も深刻度の高い レベル III ( 危険 ) ~ ドイツでは製鉄所がサイバー攻撃によって甚大な被害を受ける事件が発生 ~ ドイツの製鉄所がサイバー攻撃によって工場設備に甚大な被害が発生したことが 214 年 12 月に公 開された同国政府機関の報告書により明らかになる (*1) など 重要インフラなどを支える産業用制御 システムに対する脅威が現実化しています このことからも産業用制御システムを脅威から守るため の情報セキュリティ対策の必要性は日々重要性を増しているといえます IPA では 産業用制御シス テムの情報セキュリティ強化の一環として 213 年から制御機器が情報セキュリティ要件を満たして いることを確認する制御機器認証プログラム EDSA (*11) の確立 普及を目的としたパイロットプロ ジェクトへ参画しています 図 は JVN ipedia における産業用制御システムに関するソフトウェアの脆弱性対策情報の 登録件数と CVSS の分類による深刻度の割合を示しています 今四半期までの登録累計は 597 件とな っており 212 年以降に着目すると毎年 1 件を超える産業用制御システムに関する脆弱性対策情報 が公開されていることがわかります 件数 レベル Ⅲ( 危険 CVSS 基本値 =7.~1.) レベル Ⅱ( 警告 CVSS 基本値 =4.~6.9) レベル Ⅰ( 注意 CVSS 基本値 =.~3.9) 図 産業用制御システムの脆弱性の深刻度別件数 図 のグラフは JVN ipedia に登録されている産業用制御システムの脆弱性対策情報に関する深刻度割合を示したものです 最も深刻度の高いレベル III( 危険 CVSS 基本値 =7.~1.) が 57.% となっており 累計 597 件の半数以上が 深刻なサービス停止や改ざん 情報漏えいなどの被害が発生する可能性がある脆弱性対策情報となっています (*1) ニュース記事 ドイツの製鉄所がハッキング攻撃で操業停止 ドイツ連邦電子情報保安局が報告書を公開 (*11) 制御機器認証プログラム EDSA 国内認証制度の確立および規格書対訳版の公開について 5

7 レベル Ⅲ( 危険 CVSS 基本値 =7.~1.) レベル Ⅱ( 警告 CVSS 基本値 =4.~6.9) レベル Ⅰ( 注意 CVSS 基本値 =.~3.9) 19 件, 3.2% 238 件, 39.9% 34 件, 57.% 図 産業用制御システムの脆弱性の深刻度別割合 産業用制御システムの管理者は 脆弱性対策情報を定期的に収集し 利用製品に脆弱性が存在していないかを日々確認してください 脆弱性が存在する場合には 開発元や販売元にバージョンアップ等の対策方法の有無を確認し 速やかな対応を検討してください 直ちに対策することが困難な場合には 産業用制御システムが設置されているネットワーク等の利用環境やリスクを評価し リスクの低減策や脅威の緩和策を図るなどの対応を検討してください (*12) (*12) 制御機器の脆弱性に関する注意喚起 6

8 2. JVN ipedia の登録データ分類 2-1. 脆弱性の種類別件数図 2-1 のグラフは 214 年第 4 四半期に JVN ipedia へ登録された脆弱性対策情報を 共通脆弱性タイプ一覧別に分類し 件数を集計した示したものです 集計結果は件数が多い順に CWE-31( 暗号の問題 ) が 1,323 件 CWE-79( クロスサイト スクリプティング ) が 281 件 CWE-264( 認可 権限 アクセス制御 ) が 159 件 でした 最も件数の多かった CWE-31( 暗号の問題 ) では 脆弱性が悪用されると SSL 証明書が偽装され偽サイトを本物サイトに偽装される などの可能性があります CWE-31 の登録件数が 1,323 件と多い理由は 複数の Android アプリに SSL 証明書を適切に検証しない脆弱性 (*13) の公表を受け 1,2 件を超える Android アプリを脆弱性関連情報に登録し公開したためです 製品開発者は ソフトウェアの企画 設計段階から セキュリティ対策を講じ これら脆弱性の低減に努めることが求められます なお IPA では セキュアなプログラム開発の参考となる セキ (*14) (*15) ュア プログラミング講座 脆弱性の仕組みを実習形式や演習機能で学ぶことができる脆弱性体験学習ツール AppGoat (*16) Android アプリの開発者向けに脆弱性の学習 点検ツール AnCoLe (*17) などの資料やツールを公開しています 件数 ,323 CWE-31 : 暗号の問題 CWE-79 : クロスサイト スクリプティング CWE-264 : 認可 権限 アクセス制御 CWE-2 : 情報漏えい CWE-2 : 不適切な入力確認 CWE-119 : バッファエラー CWE-399 : リソース管理の問題 CWE-89 :SQL インジェクション CWE-94 : コード インジェクション CWE-352 : クロスサイト リクエスト フォージェリ CWE-31 CWE-79 CWE-264 CWE-2 CWE-2 CWE-119 CWE-399 CWE-89 図 年第 4 四半期に登録された脆弱性の種類別件数 CWE-94 CWE-352 (*13) JVNVU# として公開した脆弱性対策情報 (*14) (*15) プレス発表 脆弱性体験学習ツール AppGoat ウェブアプリケーション学習版 を機能強化 (*16) 脆弱性体験学習ツール AppGoat (*17) Android アプリの脆弱性の学習 点検ツール AnCoLe 7

9 2-2. 脆弱性に関する深刻度別割合図 2-2 のグラフは JVN ipedia に登録済みの脆弱性対策情報を脆弱性の深刻度別に分類し 公表年別にその推移を示したものです 脆弱性対策情報の公開開始から 214 年 12 月 31 日までに JVN ipedia に登録された脆弱性対策情報は深刻度別に レベルⅢが全体の 4.7% レベルⅡが 52.3% レベルⅠが 7.% となっています これら既知の脆弱性の深刻度は全体の 93% がサービス停止につながるような高い脅威である レベルⅡ 以上となっています 既知の脆弱性による脅威を回避するため 製品利用者は脆弱性が解消されている製品へのバージョンアップやアップデートなどを速やかに行ってください 件数 8, 7, 6, 5, 4, 3, 2, 1, レベル Ⅲ( 危険 CVSS 基本値 =7.~1.) レベル Ⅱ( 警告 CVSS 基本値 =4.~6.9) レベル Ⅰ( 注意 CVSS 基本値 =.~3.9) ,988 6,524 6,463 5,72 5,695 5,819 5,437 4,726 4, 図 2-2. 脆弱性の深刻度別件数 2-3. 脆弱性対策情報を公表した製品の種類別件数図 2-3 のグラフは JVN ipedia に登録済みの脆弱性対策情報を ソフトウェア製品の種類別に件数を集計し 年次でその推移を示したものです 最も多いのはアプリケーションに関する脆弱性対策情報で 全件の 85.3% を占めています また 28 年以降 重要インフラなどで利用される 産業用制御システムに関する脆弱性対策情報 (*18) が登録されるようになり 今四半期は 23 件 累計 597 件が登録されています 件数 8, 7, 6, 5, 4, 3, 2, 1, 産業用制御システム組込みソフトウェアアプリケーション OS ,994 6,532 6,465 5,7255,697 5,443 5,825 4,742 4, 図 2-3. 脆弱性対策情報を公表した製品の種類別件数の公開年別推移 (*18) 産業用制御システムの年次別件数は 211 年は 94 件 212 年は 176 件 213 年は 14 件 214 年は 147 件 8

10 2-4. 脆弱性対策情報の製品別登録状況表 2-4 は 214 年第 4 四半期 (1 月 ~12 月 ) に脆弱性対策情報の登録件数が多かった製品 上位 2 件を示したものです ブラウザ製品の登録件数が多く 1 位の Internet Explorer 2 位の Google Chrome 12 位の Mozilla Firefox と上位を占めていることがわかります その他 日立製作所の製品の脆弱性が多数修正されています JVN ipedia ではブラウザ製品や頻繁にバージョンアップされることが多い製品だけでなく 多岐にわたるソフトウェア製品の脆弱性情報を掲載しています 利用者は自組織で使用しているソフトウェアの脆弱性情報を迅速に入手し 効率的な対策に役立てることができます 表 2-4. 製品別 JVN ipedia の脆弱性対策情報登録件数上位 2 件 [214 年 1 月 ~214 年 12 月 ] 順位カテゴリ製品名 ( ベンダー ) 登録件数 1 ブラウザ Microsoft Internet Explorer( マイクロソフ ト ) 2 ブラウザ Google Chrome(Google) 56 3 ミドルウェア MySQL( オラクル ) 41 4 OS Linux Kernel(kernel.org) 35 5 ミドルウェア Oracle Database( オラクル ) 3 6 エミュレーター QEMU(Fabrice Bellard) 29 7 動画再生ソフト Adobe Flash Player( アドビシステムズ ) 28 8 OS Apple Mac OS X( アップル ) 26 9 CMS Plone(Plone Foundation) 25 9 開発環境 JDK( オラクル ) 25 9 開発環境 JRE( オラクル ) ブラウザ Mozilla Firefox(Mozilla Foundation) 開発環境 Adobe AIR SDK( アドビシステムズ ) 開発環境 Adobe AIR( アドビシステムズ ) PDF 閲覧 編集 Adobe Acrobat( アドビシステムズ ) 2 15 PDF 閲覧 Adobe Reader( アドビシステムズ ) 2 17 統合開発 運用環境 ucosminexus Developer Standard( 日立 ) 統合開発 運用環境 ucosminexus Service Platform( 日立 ) 統合開発 運用環境 ucosminexus Primary Server( 日立 ) 統合開発 運用環境 ucosminexus Application Server( 日立 )

11 3. 脆弱性対策情報の活用状況表 3-1 は 214 年第 4 四半期 (1 月 ~12 月 ) にアクセスの多かった JVN ipedia の脆弱性対策情報の 上位 2 件を示したものです OpenSSL に関する脆弱性はアクセスの 1 位 3 位 9 位 13 位 19 位 2 位と 2 件中 6 件を占めています また GNU bash に関する脆弱性も 2 位 5 位 6 位 7 位 8 位 1 位と 2 件中 6 件を占めています いずれも 商用製品などに組み込まれて利用されることが多く 自システム内で利用されている可能性があることからシステム管理者や利用者が参照する機会が多かったものと考えられます 表 3-1.JVN ipedia の脆弱性対策情報へのアクセス上位 2 件 [214 年 1 月 ~214 年 12 月 ] 順位 ID タイトル 1 JVNDB OpenSSL およびその他の製品で使用される SSL プロトコルにおける平文データを取得される脆弱性 CVSS 基本値 公開日 /1/16 2 JVNDB GNU bash における任意のコードを実行される脆弱性 /9/29 3 JVNDB OpenSSL における Change Cipher Spec メッセージの処理に脆弱性 /6/6 4 JVNDB QNAP QTS に OS コマンドインジェクションの脆弱性 /1/28 5 JVNDB GNU bash における任意のコマンドを実行される脆弱性 /1/1 6 JVNDB GNU bash におけるファイルに書き込まれる脆弱性 /9/26 7 JVNDB GNU bash の parse.y のリダイレクションの実装におけるサービス運用妨害 (DoS) の脆弱性 /9/3 8 JVNDB GNU bash の parse.y の read_token_word 関数におけるサービス運用妨害 (DoS) の脆弱性 /9/3 9 JVNDB OpenSSL の t1_lib.c の tls_decrypt_ticket 関数におけるサービス運用妨害 (DoS) の脆弱性 /1/23 1 JVNDB GNU bash における任意のコードを実行される脆弱性 /9/3 11 JVNDB Linux Kernel の arch/x86/kernel/traps.c 内の do_double_fault 関数におけるサービス運用妨害 /12/2 (DoS) の脆弱性 12 JVNDB 複数のサイボウズ製品におけるバッファオーバーフローの脆弱性 /11/11 13 JVNDB OpenSSL の DTLS SRTP エクステンションの d1_srtp.c におけるサービス運用妨害 (DoS) の脆弱 /1/23 性 14 JVNDB 複数の F5 製品の SSL プロファイルコンポーネントにおける平文データを取得される脆弱性 /12/11 15 JVNDB SSL と TLS の CBC モードに選択平文攻撃の脆弱性 /1/4 16 JVNDB 一太郎シリーズにおいて任意のコードが実行される脆弱性 /11/13 17 JVNDB Android 版拡散性ミリオンアーサーにおける情報管理不備の脆弱性 /12/4 18 JVNDB Huawei E5332 におけるサービス運用妨害 (DoS) の脆弱性 /1/1 19 JVNDB OpenSSL の heartbeat 拡張に情報漏えいの脆弱性 /4/8 2 JVNDB OpenSSL におけるアクセス制限を回避される脆弱性 /1/23 1

12 表 3-2 は国内の製品開発者から収集した脆弱性対策情報でアクセスの多かった上位 5 件を示しています 上位 3 件の公開日は今四半期内で 日立の JP1 に注目が集まっていることが見てとれます また 2 位 3 位 5 位の深刻度はレベル III( 危険 ) となっており これらの脆弱性が攻撃をされた場合には 自システムが深刻なダメージを受ける可能性が想定されます 表 3-2. 国内の製品開発者から収集した脆弱性対策情報へのアクセス上位 5 件 [214 年 1 月 ~214 年 12 月 ] 順位 ID タイトル 1 JVNDB JVNDB JVNDB JVNDB JVNDB JP1/NETM/DM および Job Management Partner 1/Software Distribution における PC 内蔵タイプの USB ストレージデバイスを抑止不可とされる脆弱性 JP1/Cm2/Network Node Manager i における複数の脆弱性 JP1/Cm2/Network Node Manager i における複数のバッファオーバーフローの脆弱性 Apache の mod_autoindex.c における UTF-7 エンコードに関するクロスサイトスクリプティングの脆弱性 Hitachi Tuning Manager および JP1/Performance Management - Manager Web Option における複数の脆弱性 CVSS 基本値 公開日 /1/ /12/ /12/ /12/ /6/11 注 1)CVSS 基本値の深刻度による色分け CVSS 基本値 =.~3.9 深刻度 = レベル I( 注意 ) 注 2) 公開日の年による色分け CVSS 基本値 =4.~6.9 深刻度 = レベル II( 警告 ) CVSS 基本値 =7.~1. 深刻度 = レベル III( 危険 ) 212 年以前の公開 213 年の公開 214 年の公開 11