脆弱性対策情報データベース JVN ipedia に関する活動報告レポート [2017 年第 3 四半期 (7 月 ~9 月 )] 脆弱性対策情報データベース JVN ipedia に関する活動報告レポートについて本レポートでは 2017 年 7 月 1 日から 2017 年 9 月 30 日まで

Size: px

Start display at page:

Download "脆弱性対策情報データベース JVN ipedia に関する活動報告レポート [2017 年第 3 四半期 (7 月 ~9 月 )] 脆弱性対策情報データベース JVN ipedia に関する活動報告レポートについて本レポートでは 2017 年 7 月 1 日から 2017 年 9 月 30 日まで"

あまめいいはた
5 years ago
Views:

1 脆弱性対策情報データベース JVN ipedia に関する活動報告レポート [2017 年第 3 四半期 (7 月 ~9 月 )] 脆弱性対策情報データベース JVN ipedia に関する活動報告レポートについて本レポートでは 2017 年 7 月 1 日から 2017 年 9 月 30 日までの間に JVN ipedia で登録をした脆弱性対策情報の統計及び事例について紹介しています独立行政法人情報処理推進機構技術本部セキュリティセンター 2017 年 10 月 24 日

2 目次年第 3 四半期脆弱性対策情報データベース JVN ipedia の登録状況脆弱性対策情報の登録状況注目情報 1 BlueBorne と呼ばれる Bluetooth の脆弱性について注目情報 2 Apache Struts2 の脆弱性対策情報について JVN ipedia の登録データ分類脆弱性の種類別件数脆弱性に関する深刻度別割合脆弱性対策情報を公表した製品の種類別件数脆弱性対策情報の製品別登録状況脆弱性対策情報の活用状況

3 年第 3 四半期脆弱性対策情報データベース JVN ipedia の登録状況脆弱性対策情報データベース JVN ipedia( ) はソフトウェア製品に関する脆弱性対策情報を 2007 年 4 月 25 日から日本語で公開していますシステム管理者が迅速に脆弱性対策を行えるよう 1) 国内のソフトウェア開発者が公開した脆弱性対策情報 2) 脆弱性対策情報ポータルサイト JVN (*1) で公表した脆弱性対策情報 3) 米国国立標準技術研究所 NIST (*2) の脆弱性データベース NVD (*3) が公開した脆弱性対策情報を集約翻訳しています 1-1. 脆弱性対策情報の登録状況 ~ 脆弱性対策情報の登録件数の累計は 74,691 件 ~ 2017 年第 3 四半期 (2017 年 7 月 1 日から 9 月 30 日まで ) に JVN ipedia 日本語版へ登録した脆弱性対策情報は右表の通りとなり脆弱性対策情報の登録件数の累計は 74,691 件でした ( 表 1-1 図 1-1) 2017 年から NVD の公開件数が大幅に増加しており今四半期の JVN ipedia の登録件数は 3,695 件と昨年同時期 (2016 年 7 月 ~9 月 ) の件数 1,738 件と比べて倍以上となっています日本語版英語版表年第 3 四半期の登録件数情報の収集元登録件数累計件数国内製品開発者 3 件 186 件 JVN 181 件 7,651 件 NVD 3,511 件 66,854 件計 3,695 件 74,691 件国内製品開発者 3 件 186 件 JVN 66 件 1,611 件計 69 件 1,797 件また JVN ipedia 英語版へ登録した脆弱性対策情報は右表の通り累計で 1,797 件になりました四半期件数 5,000 4,000 3,000 2,000 1,000 国内製品開発者から収集したもの JVN から収集したもの NVD から収集したもの累計件数 ( 右目盛り ) 61,309 63,047 1,738 件 64,618 67,485 70,996 74,691 3,695 件 80,000 70,000 60,000 50,000 累 40,000 計 30,000 件数 20,000 10, /4/25 公開開始 2Q Q Q Q Q Q 図 1-1. JVN ipedia の登録件数の四半期別推移 (*1) Japan Vulnerability Notes 脆弱性対策情報ポータルサイト製品開発者の脆弱性への対応状況を公開しシステムのセキュリティ対策を支援しています IPA JPCERT/CC が共同で運営しています (*2) National Institute of Standards and Technology 米国国立標準技術研究所米国の科学技術分野における計測と標準に関する研究を行う機関 (*3) National Vulnerability Database NIST が運営する脆弱性データベース 2

4 1-2. 注目情報 1 BlueBorne と呼ばれる Bluetooth の脆弱性について ~ 全 8 件の脆弱性のうち半数の 4 件が深刻度早急な脆弱性対策を ~ 2017 年 9 月 Bluetooth (*4) に BlueBorne と呼ばれる脆弱性が存在することが海外のセキュリティベンダ (*5) から公表されました本脆弱性は Android や ios Windows Linux などで広く利用されている Bluetooth の実装に存在し脆弱性の発見者によると 82 億デバイスを超える Bluetooth 機能を持つすべてのデバイスに影響を与える可能性があるという情報が公表されています対象となる製品などのデバイスが多数存在しており被害が発生した場合の影響も大きいことから IPA では広く一般向けに緊急対策情報を公開 (*6) しています表 1-2 は JVN ipedia に登録された BlueBorne に関する脆弱性対策情報の一覧です CVSSv2( 基本値 ) に着目すると全 8 件の脆弱性のうち半数の 4 件が深刻度となっています表 1-2. JVN ipedia で公開している BlueBorne に関する脆弱性対策情報 No JVNDB (CVE) JVNDB (CVE ) JVNDB (CVE ) JVNDB (CVE ) JVNDB (CVE ) タイトル Android システムにおけるアクセス制御に関する脆弱性 Android システムにおけるアクセス制御に関する脆弱性 Android システムにおける情報漏えいに関する脆弱性 Android システムにおける情報漏えいに関する脆弱性 JVNDB BlueZ における情報漏えいに関する脆弱性 (CVE ) JVNDB Linux Kernel におけるバッファエラーの脆弱性 (CVE ) 脆弱性の影響を受ける OS 種別 Android Linux JVNDB Apple ios の LEAP の実装におけるヒープオー 7 ios (CVE ) バーフローの脆弱性 JVNDB 複数の Microsoft Windows 製品のMicrosoft 8 Windows (CVE ) Bluetooth ドライバにおけるなりすましの脆弱性 CVSSv2 ( 基本値 ) (8.3) (8.3) (6.1) 注意 (3.3) 注意 (3.3) (8.3) (7.9) (4.3) これらの脆弱性を悪用された場合デバイスに記録されている機密情報が攻撃者により窃取されるあるいはボットやランサムウェアをはじめとするマルウェア ( ウイルス ) に感染させられ遠隔操作で機器を乗っ取られるなどの被害を受ける可能性があります Bluetooth 機能を持つ PC やスマートフォンなどのデバイスを利用する使用者はデバイスを提供するベンダのセキュリティ情報を確認し当該脆弱性の対象となっている場合にはアップデートなどの対策を実施してくださいまた Bluetooth 機能を必要としない場合には接続の設定を無効とすることで本脆弱性の影響を回避できますなお IPA では重要なセキュリティ情報を自組織内でいち早くキャッチできるサイバーセキュリティ注意喚起サービス icat for JSON (*7) を提供しています是非ご活用ください (*4) 無線通信の規格の 1 つ例えばノートパソコンやスマートフォンにおいて短距離無線でキーボードやイアホンなどを接続する際などに利用される (*5) BlueBorne Information from the Research Team - Armis Labs (*6) IPA:Bluetooth の実装における複数の脆弱性について (*7) IPA: サイバーセキュリティ注意喚起サービス icat for JSON 3

5 1-3. 注目情報 2 Apache Struts2 の脆弱性対策情報について ~ 直近 1 年間に登録した脆弱性対策情報は 8 件その内の 3 件は最も深刻度の高い ~ 約 1.4 億人に及ぶ顧客の氏名やクレジットカード情報などが流出した可能性があると個人情報を取り扱う米国の大手信用情報会社から 2017 年 9 月に公表 (*8) されました同社が公表した情報によると悪用されたのは 2017 年 3 月に公開済の Apache Struts2 の脆弱性 (JVNDB ) であることが分かっています (*9) IPA では本脆弱性を悪用した攻撃が発生することを予見して 2017 年 3 月に緊急対策情報 (*10) を発信していましたまた上記と異なる Apache Sturuts2 の脆弱性 (JVNDB ) が 2017 年 9 月に公開されておりこれについても攻撃コードが存在し被害が発生する可能性があったため IPA は 2017 年 9 月に注意喚起情報 (*11) を発信しています表 1-3 は直近 1 年間 (2016 年 10 月 1 日 ~2017 年 9 月 30 日 ) に JVN ipedia に登録された Apache Struts2 に関する脆弱性対策情報の一覧です直近 1 年間では上記 2 件を含む合計 8 件の Apache Struts2 に関する脆弱性対策情報を登録公開しています No 表 1-3. JVN ipedia で公開している Apache Struts2 に関する脆弱性対策情報 JVNDB (CVE) JVNDB (CVE ) JVNDB (CVE ) JVNDB (CVE ) JVNDB (CVE ) JVNDB (CVE ) JVNDB (CVE ) JVNDB (CVE なし ) JVNDB (CVE ) ( 対象期間 :2016 年 10 月 1 日 ~2017 年 9 月 30 日 ) タイトル Apache Struts 2 における Struts 内部を操作される脆弱性 Apache Struts2 に任意のコードが実行可能な脆弱性 (S2-052) Apache Struts 2 におけるアクセス制御に関する脆弱性 Apache Struts 2 における入力確認に関する脆弱性 Apache Struts2 の Struts1 プラグインを使用するアプリケーションに任意のコードが実行可能な脆弱性 Apache Struts2 に任意のコードが実行可能な脆弱性 Apache Struts 2 において devmode が有効な場合に任意の Java(OGNL) コードが実行可能な問題 Apache Struts 2 における脆弱性 CVSSv2 ( 基本値 ) (5.0) (7.5) (4.0) (4.3) (5.1) (10. 0) (6.8) (7.5) JVN ipedia 登録日 2017/9/ /9/7 2017/8/7 2017/8/7 2017/7/ /3/ /1/ /10/6 上述した JVNDB の脆弱性情報は CVSSv2 基本値の中で最も深刻度が高い危険 (10.0) ですこの他の 2 件を含め 8 件中 3 件が最も深刻度の高いとなっています Apache Struts2 を利用するシステムの管理者は日頃からソフトウェア提供元のベンダ情報 (*12) やセキュリティベンダの情報を収集し迅速な脆弱性対策を実施することが重要です IPA では Apache Struts2 の脆弱性対策情報一覧 (*13) を公開していますのでセキュリティ情報を収 (*8) Equifax Announces Cybersecurity Incident Involving Consumer Information (*9) Equifax Releases Details on Cybersecurity Incident, Announces Personnel Changes (*10) IPA:Apache Struts2 の脆弱性対策について (CVE )(S2-045)(S2-046) (*11) IPA:Apache Struts2 の脆弱性対策について (CVE )(S2-052) (*12) Apache Struts 2 DocumentationSecurity Bulletins (*13) IPA:Apache Struts2 の脆弱性対策情報一覧 4

6 集する際の一助としてご活用ください 5

7 2. JVN ipedia の登録データ分類 2-1. 脆弱性の種類別件数図 2-1 は 2017 年第 3 四半期 (7 月 ~9 月 ) に JVN ipedia へ登録した脆弱性対策情報を共通脆弱性タイプ一覧 (CWE) によって分類し件数を集計したものです集計結果は件数が多い順に CWE-119( バッファエラー ) が 735 件 CWE-284( 不適切なアクセス制御 ) が 367 件 CWE-79( クロスサイトスクリプティング ) が 358 件 CWE-264( 認可権限アクセス制御不備 ) が 327 件 CWE-200( 情報漏えい ) が 324 件でした最も件数の多かった CWE-119( バッファエラー ) は悪用されるとサーバや PC 上で悪意のあるコードが実行されデータを盗み見られたり改ざんされるなどの被害が発生する可能性があります製品開発者はソフトウェアの企画設計段階から脆弱性の低減に努めることが求められますなお IPA ではそのための資料やツールとして開発者や運営者がセキュリティを考慮したウェブサ (*14) イトを作成するための資料安全なウェブサイトの作り方や IPA セキュアプログラミング (*15) 講座脆弱性の仕組みを実習形式や演習機能で学ぶことができる脆弱性体験学習ツール AppGoat (*16) などを公開しています件数 CWE-119 : バッファエラー CWE-284 : 不適切なアクセス制御 CWE-79 : クロスサイトスクリプティング CWE-264 : 認可権限アクセス制御 CWE-200 : 情報漏えい CWE-20 : 不適切な入力確認 CWE-89 :SQL インジェクション CWE-399 : リソース管理の問題 CWE-125 : 境界外読み取り CWE-476 :NULL ポインタデリファレンス CWE-119 CWE-284 CWE-79 CWE-264 CWE-200 CWE-20 CWE-89 CWE-399 CWE-125 CWE-476 図年第 3 四半期に登録された脆弱性の種類別件数 (*14) IPA: 安全なウェブサイトの作り方 (*15) IPA: IPA セキュアプログラミング講座 (*16) IPA: 脆弱性体験学習ツール AppGoat 6

8 2-2. 脆弱性に関する深刻度別割合図 2-2 は JVN ipedia に登録済みの脆弱性対策情報を CVSSv2 の値に基づいて深刻度別に分類し公表年別にその推移を示したものです脆弱性対策情報の登録開始から 2017 年 9 月 30 日までに JVN ipedia に登録した脆弱性対策情報は深刻度別にレベルⅢが全体の 38.4% レベルⅡが 53.8% レベルⅠが 7.8% となっており情報の漏えいや改ざんされるような高い脅威であるレベルⅡ 以上が 92.2% を占めています既知の脆弱性による脅威を回避するため製品利用者は日頃から脆弱性が解消されている製品へのバージョンアップやアップデートなどを速やかに行ってくださいなお JVN ipedia ではこれまでの CVSSv2 による評価方法に加えて 2015 年 12 月 1 日から CVSSv3 (*17) による評価方法も試行運用をしています (*18) 件数 10,000 9,000 8,000 7,000 6,000 5,000 4,000 3,000 2,000 1, ,600 レベル Ⅲ( CVSS 基本値 =7.0~10.0) レベル Ⅱ( CVSS 基本値 =4.0~6.9) レベル Ⅰ( 注意 CVSS 基本値 =0.0~3.9) 6,468 5,722 5,697 4,753 4,490 5,477 ~ (~2017/9/30) 5,890 図 2-2. 脆弱性の深刻度別件数 7,498 7,035 8,051 6,897 (*17) CVSSv3: 脆弱性の深刻度を評価するための指標 CVSSv2 と比較すると仮想化やサンドボックス化などの利用状況の変化を取り込んだ仕様となっている (*18) 共通脆弱性評価システム CVSS v3 ( 新バージョン ) での評価の開始について 7

9 2-3. 脆弱性対策情報を公表した製品の種類別件数図 2-3 は JVN ipedia に登録済みの脆弱性対策情報をソフトウェア製品の種類別に件数を集計し年次でその推移を示したものです 2017 年で最も多い種別はアプリケーションに関する脆弱性対策情報で 2017 年の件数全件の 74.3%(5,134 件 / 全 6,903 件 ) を占めています件数 10,000 9,000 8,000 7,000 6,000 5,000 4,000 3,000 2,000 1,000 0 産業用制御システム組込みソフトウェアアプリケーション OS 6,620 6,470 5,727 5,699 4,769 4,515 ~ ,484 5,896 7,509 7,040 8,059 図 2-3. 脆弱性対策情報を公表した製品の種類別件数の公開年別推移 6,903 5,134 件 74.3% (~2017/9/30) また 2007 年以降重要インフラなどで利用される産業用制御システムに関する脆弱性対策情報を登録していますこれまでに累計で 1,190 件を登録しています ( 図 2-4) 件数年 2008 年 2009 年 2010 年 2011 年 2012 年 2013 年 2014 年 2015 年 2016 年 2017 年図 2-4. JVN ipedia 登録件数 ( 産業用制御システムのみ抽出 ) (~2017/9/30) 8

10 2-4. 脆弱性対策情報の製品別登録状況表 2-1 は 2017 年第 3 四半期 (7 月 ~9 月 ) に JVN ipedia へ脆弱性対策情報の登録件数が多かった製品の上位 20 件を示したものです 1 位の Android OS の登録件数は 298 件となっており 2 位の画像処理ソフト ImageMagick の 123 件と比較をすると倍以上の件数となっていますまた 3 位以降については OS PDF 画像処理といった分類の製品が占めており国内の企業や家庭で使われている製品に関する脆弱性対策情報が広く登録されています JVN ipedia は表に記載されている製品以外にも幅広い脆弱性対策情報を登録公開しています製品の利用者や開発者は自組織などで使用しているソフトウェアの脆弱性対策情報を迅速に入手し効率的な対策に役立ててください (*19) 表 2-1. 製品別 JVN ipedia の脆弱性対策情報登録件数上位 20 件 [2017 年 7 月 ~2017 年 9 月 ] 順位カテゴリ製品名 ( ベンダ名 ) 登録件数 1 OS Android(Google) 画像処理ソフト ImageMagick(ImageMagick) ブラウザ Microsoft Edge( マイクロソフト ) 80 4 画像処理ソフト XnView(XnSoft) 74 5 OS Microsoft Windows 10( マイクロソフト ) 73 6 OS Microsoft Windows Server 2016( マイクロソフト ) 69 7 PDF 閲覧編集 Adobe Acrobat( アドビシステムズ ) 66 7 PDF 閲覧 Adobe Reader( アドビシステムズ ) 66 7 PDF 閲覧編集 Adobe Acrobat DC( アドビシステムズ ) 66 7 PDF 閲覧 Adobe Acrobat Reader DC( アドビシステムズ ) OS Microsoft Windows 8.1( マイクロソフト ) OS Microsoft Windows Server 2012( マイクロソフト ) OS Microsoft Windows Server 2008( マイクロソフト ) OS Microsoft Windows RT 8.1( マイクロソフト ) OS Microsoft Windows 7( マイクロソフト ) 画像ビューア IrfanView(Irfan Skiljan) OS ios( アップル ) OS Linux Kernel(kernel.org) OS tvos( アップル ) バイナリツール GNU Binutils(GNU Project) 37 (*19) 脆弱性情報の収集や集めた情報の活用方法についての手引きをまとめたレポート脆弱性対策の効果的な進め方( 実践編 ) を公開 9

11 3. 脆弱性対策情報の活用状況表 3-1 は 2017 年第 3 四半期 (7 月 ~9 月 ) にアクセスの多かった JVN ipedia の脆弱性対策情報の上位 20 件を示したものです 1 位の ScreenOS は企業向けルータで使用される OS 製品ですこの製品の脆弱性種別はクロスサイトスクリプティングとなっており悪用をされるとルータ管理者が操作するウェブブラウザ上で任意の Web スクリプトまたは HTML を挿入されるなどの被害が発生する可能性があります対象製品を利用している場合システム管理者はベンダが提供する対策パッチなどを早期に自システムに適用し攻撃による被害を未然に防ぐことが重要です表 3-1.JVN ipedia の脆弱性対策情報へのアクセス上位 20 件 [2017 年 7 月 ~2017 年 9 月 ] 順位 ID 1 JVNDB JVNDB JVNDB タイトル ScreenOS における複数のクロスサイトスクリプティングの脆弱性アタッシェケースで作成された自己実行可能形式の暗号化ファイルにおける DLL 読み込みに関する脆弱性 Lhaz と Lhaz+ のインストーラおよび Lhaz や Lhaz+ で作成された自己解凍書庫ファイルにおける DLL 読み込みに関する脆弱性 4 JVNDB バッファロー製の複数の無線 LAN アクセスポイントにおける認証不備の脆弱性 5 JVNDB JVNDB gsoap にスタックバッファオーバーフローの脆弱性 WordPress 用プラグイン Simple Custom CSS and JS におけるクロスサイトスクリプティングの脆弱性 7 JVNDB バッファロー製の複数の無線 LAN ルータに複数の脆弱性 8 JVNDB Microsoft IME における任意の DLL 読み込みに関する脆弱性 9 JVNDB Windows 版 Mozilla Firefox および Thunderbird のインストーラにおける DLL 読み込みに関する脆弱性 10 JVNDB Tween のインストーラにおける DLL 読み込みに関する脆弱性 11 JVNDB WordPress 用プラグイン Popup Maker におけるクロスサイトスクリプティングの脆弱性 12 JVNDB JVNDB スマートフォンアプリ RBB SPEED TEST における SSL サーバ証明書の検証不備の脆弱性 Yahoo! ツールバー (Internet explorer 版 ) のインストーラにおける任意の DLL 読み込みの脆弱性 CVSSv2 基本値公開日アクセス数 /7/24 4, /7/14 4, /7/7 4, /7/20 3, /7/ /7/24 3, /7/20 3, /11/11 3, /7/11 3, /7/24 3, /7/24 3, /7/24 3, /7/12 3,493 10

12 順位 ID 14 JVNDB タイトル TLS プロトコルなどの製品で使用される DES および Triple DES 暗号における平文のデータを取得される脆弱性 15 JVNDB ソニー製ポータブルワイヤレスサーバー WG-C10 におけるアクセス制限不備の脆弱性 16 JVNDB ソニー製ポータブルワイヤレスサーバー WG-C10 における複数の脆弱性 17 JVNDB JVNDB 法務省が提供する PDF 署名プラグインのインストーラにおける任意の DLL 読み込みに関する脆弱性 WN-AX1167GR における複数の脆弱性 CVSSv2 基本値公開日アクセス数 /9/2 3, /7/19 3, /7/19 3, /6/30 3, /7/27 3, JVNDB JVNDB 国土交通省が提供する電子成果物作成支援検査システムのインストーラおよびインストーラを含む自己解凍書庫における DLL 読み込みに関する脆弱性 WN-G300R3 において認証情報がハードコードされている問題 /7/3 3, /7/27 3,244 表 3-2 は国内の製品開発者から収集した脆弱性対策情報でアクセスの多かった上位 5 件を示しています表 3-2. 国内の製品開発者から収集した脆弱性対策情報へのアクセス上位 5 件 [2017 年 7 月 ~2017 年 9 月 ] 順位 ID 1 JVNDB JVNDB JVNDB タイトル Cosminexus HTTP Server および Hitachi Web Server における脆弱性複数の日立製品におけるクロスサイトスクリプティングの脆弱性 Hitachi IT Operations Director および JP1/IT Desktop Management における複数の脆弱性 4 JVNDB HiRDB におけるサービス運用妨害 (DoS) の脆弱性 5 JVNDB JP1 および Hitachi IT Operations Director 製品におけるサービス運用妨害 (DoS) の脆弱性 CVSSv2 基本値公開日アクセス数 /6/26 3, /4/5 2, /5/16 2, /8/28 2, /9/4 1,954 注 1)CVSSv2 基本値の深刻度による色分け CVSS 基本値 =0.0~3.9 深刻度 = レベル I( 注意 ) 注 2) 公開日の年による色分け CVSS 基本値 =4.0~6.9 深刻度 = レベル II( ) CVSS 基本値 =7.0~10.0 深刻度 = レベル III( ) 2015 年以前の公開 2016 年の公開 2017 年の公開 11

脆弱性対策情報データベース JVN ipedia に関する活動報告レポート [2019 年第 2 四半期 (4 月 ~6 月 )] 脆弱性対策情報データベース JVN ipedia に関する活動報告レポートについて本レポートでは 2019 年 4 月 1 日から 2019 年 6 月 30 日まで

脆弱性対策情報データベース JVN ipedia に関する活動報告レポート [2019 年第 2 四半期 (4 月 ~6 月 )] 脆弱性対策情報データベース JVN ipedia に関する活動報告レポートについて本レポートでは 2019 年 4 月 1 日から 2019 年 6 月 30 日までの間に JVN ipedia で登録をした脆弱性対策情報の統計及び事例について紹介しています独立行政法人情報処理推進機構セキュリティセンター