脆弱性関連情報に関する届出状況[2007年第4四半期（10月～12月）]

Size: px

Start display at page:

Download "脆弱性関連情報に関する届出状況[2007年第4四半期（10月～12月）]"

しょうこのたけ
4 years ago
Views:

1 プレスリリース 28 年月 8 独立行政法人情報処理推進機構有限責任中間法人 JPCERT コーディネーションセンターソフトウェア等の脆弱性関連情報に関する届出状況 [27 年第 4 四半期 ( 月 ~2 月 )] 独立行政法人情報処理推進機構 ( 略称 :IPA 理事長: 藤原武平太 ) および有限責任中間法人 JPCERT コーディネーションセンター ( 略称 :JPCERT/CC 代表理事: 歌代和正 ) は 27 年第 4 四半期 ( 月 ~2 月 ) の脆弱性関連情報の届出状況をまとめました今四半期のトピックス : 情報セキュリティ早期警戒パートナーシップによる脆弱性の修正完了件数が, 件に達しました.27 年第 4 四半期の概況 () 脆弱性の届出状況 27 年第 4 四半期 (27 年月から 2 月 3 まで ) 表. 27 年第 4 四半期の届出件数の IPA への脆弱性関連情報の届出件数はソフトウェア製品に分類届出件数累計件数関するもの 66 件ウェブアプリケーション ( ウェブサイト ) に関するソフトウェア製品 66 件 626 件もの 8 件合計 46 件でした届出受付開始 (24 年 7 月 8 ウェブサイト 8 件,23 件 ) からの累計はソフトウェア製品に関するもの 626 件ウェブ計 46 件,749 件サイトに関するもの,23 件合計,749 件でウェブサイトに関する届出が全体の 3 分の 2 を占めています ( 表 ) 図に示すように届出受付開始 (24 年 7 月 8 ) から各四半期末時点までの業務あたりの届出件数が 27 年第 4 四半期で 2.5 件となりました届出件数は年々増加しており脆弱性の届出制度が浸透し潜在していた脆弱性が顕在化してきているものと考えています就業あたりの届出件数 ( 届出受付開始から各四半期末時点 ) 25/ 26/ 26/ 26/ 26/ 27/ 27/ 27/ 27/ 四半期件数 25 ソフトウェア製品に関する届出ウェブサイトに関する届出ソフトウェア製品に関する届出 ( 累計 ) ウェブサイトに関する届出 ( 累計 ) 累計件数図. 脆弱性関連情報の届出件数の四半期別推移ソフトウェア等の脆弱性関連情報に関する届出制度 : 経済産業省告示に基づき 24 年 7 月より開始しました IPA は届出受付分析 JPCERT/CC は国内の製品開発者などの関連組織との調整を行っています

2 (2) 脆弱性の修正状況表 2.27 年第 4 四半期の修正完了件数 27 年第 4 四半期の脆弱性の修正完了件数はソフトウェア分類修正完了件数累計件数製品に関するもの 3 件ウェブサイトに関するもの 93 件合計ソフトウェア製品 3 件 254 件 24 件でした届出受付開始からの累計はソフトウェア製品にウェブサイト 93 件 748 件関するもの 254 件ウェブサイトに関するもの 748 件合計計 24 件,2 件,2 件となり, 件に達しました ( 表 2 図 2) 今四半期はソフトウェア製品の修正完了件数ウェブサイトの修正完了件数ともに過去最多となりました四半期件数ソフトウェア製品の修正完了修正完了の合計 ( 累計 ) ウェブサイトの修正完了図 2. 脆弱性の修正完了件数の四半期別推移累計件数修正が完了した脆弱性について脆弱性を攻撃された場合に想定される脅威を分析するとソフトウェア製品の脆弱性に関してはクロスサイトスクリプティングや SQL インジェクションの脅威である任意のスクリプトの実行が 47% 情報の漏洩が % なりすましが 7% 任意のコードの実行が 6% などとなっています ( 図 3) ウェブサイトの脆弱性に関しては本物サイトへの偽情報の表示が 3 データの改ざん消去が 8% Cookie 2 情報の漏洩が 6% 個人情報の漏洩が % などとなっています ( 図 4) サービス不能 5% 任意のコマンドの実行 5% 任意のコードの実行 6% その他 2% なりすまし 7% 任意のスクリプトの実行 47% 情報の漏洩 % 図 3. ソフトウェア製品の修正完了 - 脅威別内訳 - サーバ内ファイルの漏洩 6% 個人情報の漏洩 % Cookie 情報の漏洩 6% その他 7% 本物サイト上への偽情報の表示 3 データ改ざん消去 8% 図 4. ウェブサイトの修正完了 - 脅威別内訳 - IPA が 26 年月に公表した企業における情報セキュリティ事象被害額調査 3 によると実際に SQL インジェクションによる不正アクセスがあった場合その復旧に関する費用は件あたり 5 万円から億円の推計結果となっていますソフトウェア製品開発者やウェブサイト運営者は脆弱性対策を促進しその被害を事前に防止することが重要です 2 ウェブサイトの閲覧者のコンピュータに一時的にデータを書き込んで保存させるしくみ Cookie には閲覧者の情報や最後にサイトを訪れた時そのサイトの訪問回数などを記録しておくことができる Cookie は閲覧者の識別に使われ認証システムやウェブよるサービスを閲覧者ごとにカスタマイズするために利用される 3 2

3 2. ソフトウェア製品の脆弱性の処理状況 7 国内発見者から届出があったもの 6 国内発見者から届出があったもの ( 累計 ) 海外のCSIRTから連絡を受けたもの ( 累計 ) 表 3. ソフトウェア製品の脆弱性の処理件数 27 年第 4 四半期のソフトウェア製品の脆弱性の処理状況分類件数累計件数は JPCERT/CC が調整を行い製品開発者が脆弱性の修正修正完了公表済み 3 件 242 件を完了し JVN 4 で対策情報を公表したものは 3 件でした製品開発者からの届出のうち製品開発者が個別対応を行ったも個別対応件 2 件のは件製品開発者が脆弱性ではないと判断したものは 2 脆弱性ではない 2 件 3 件件告示で定める届出の対象に該当せず不受理としたものは 8 不受理 8 件 87 件件でしたこれらの取扱いを終了したものの合計は 4 件 ( 累計合計 4 件 372 件 372 件 ) ですこの結果取扱い中 ( 製品開発者が調査対応中のもの ) が 25 件増加し 254 件となりました ( 表 3) 取扱い中 25 件 254 件今四半期のソフトウェア製品の脆弱性対策情報の公表件数は 3 件と過去最多となりましたこのほか海外の CSIRT 5 から JPCERT/CC が連絡を受けた 7 件 ( 累計 33 件 ) を JVN で公表しました ( 図 5) 四半期件数海外の CSIRT から連絡を受けたもの図 5. ソフトウェア製品の脆弱性対策情報の公表件数の四半期別推移なお 27 年第 4 四半期において JVN で対策情報を公表した主なものは以下のとおりです累計件数 6 () 一太郎シリーズの脆弱性本語ワープロソフトの一太郎シリーズの文書ファイルを読みこむ処理にバッファオーバーフローの脆弱性が存在しウェブブラウザの種類によっては悪意のある URL にアクセスするだけで被害を受ける可能性がありましたこの脆弱性が悪用されるとシステムが破壊されたりウイルスやボットに感染させられたりしてしまう可能性があり月 25 に JVN で対策情報を公表しました 7 (2) SonicStage CP の脆弱性音楽管理ソフトウェアの SonicStage CP のプレイリストファイルを取り込む処理にバッファオーバーフローの脆弱性が存在し 2 月 4 に JVN で対策情報を公表しました本件は製品開発者自身から届出があり JPCERT/CC が製品開発者と調整を行ない公表したものです今後も製品開発者に脆弱性対策情報を利用者へ周知徹底するための JVN の活用を求めます (3) Lhaplus の脆弱性 8 電子ファイルのデータを lzh 形式や zip 形式などに圧縮解凍する Lhaplus にバッファオーバーフローの 4 Japan Vulnerability Notes 脆弱性対策情報ポータルサイト国内で利用されている製品の脆弱性対策情報を公開しシステムのセキュリティ対策を支援しています IPA JPCERT/CC が共同で運営しています 5 Computer Security Incident Response Team コンピュータセキュリティインシデント対応チームコンピュータセキュリティに関するインシデント ( 事故 ) への対応調整サポートをする組織です 6 本脆弱性の深刻度 = レベル II( 警告 ) CVSS 基本値 =6.8 別紙の表 -2 項番 8 を参照下さい 7 本脆弱性の深刻度 = レベル II( 警告 ) CVSS 基本値 =6.8 別紙の表 -2 項番 5 を参照下さい 8 本脆弱性の深刻度 = レベル II( 警告 ) CVSS 基本値 =6.8 別紙の表 -2 項番 4 を参照下さい 3

4 脆弱性が存在しましたこの製品に関して前四半期に注意喚起を行いましたが異なる個所に脆弱性があり再度月 22 に JVN で対策情報を公表しましたまた類似の機能を持つソフトウェアの PowerArchiver WinAce にも同様の脆弱性が見つかっておりそれぞれ月 5 2 月 25 に JVN で対策情報を公表しました 9 (4) AirStation シリーズおよび BroadStation シリーズの脆弱性ネットワーク機器の AirStation シリーズおよび BroadStation シリーズに組込まれたソフトウェアにクロスサイトリクエストフォージェリ (CSRF) の脆弱性があり月 2 に JVN で対策情報を公表しました (5) Webmin の脆弱性 OS のファイル編集やサーバ設定などを行えるようにするソフトウェアの Windows 版 Webmin に OS コマンドインジェクションの脆弱性が存在しましたこの弱点が悪用されると任意の OS コマンドが実行される可能性があり月 3 に JVN で対策情報を公表しましたまた (4) のような組込みソフトウェアの脆弱性は今四半期までに累計で 3 件公表しました ( 図 6) 対象となる組込み機器の内訳はルータやスイッチなどのネットワーク機器が 5 件プリンタやハードディスクなどの周辺機器が 3 件携帯電話が 3 件 DVD レコーダなどの情報家電が 2 件となっています ( 図 7) 今後情報家電がインターネットに接続されるようになると組込みソフトウェアの脆弱性の顕著化が予測され組込みソフトウェアの開発者は製品の開発段階からセキュリティの考慮が必要です件数年間件数累計件数図 6. 組込みソフトウェアの脆弱性の修正完了件数の年別推移携帯電話, 3 情報家電, 2 周辺機器, 3 ネットワーク機器, 5 図 7. 組込みソフトウェアの脆弱性の対象機器これらのソフトウェア製品の脆弱性の処理状況の詳細は別紙の章を参照下さい表 4. ウェブサイトの脆弱性の処理件数 3. ウェブサイトの脆弱性の処理状況分類件数累計件数 27 年第 4 四半期のウェブサイトの脆弱性の処理状況は IPA 修正完了 93 件 748 件が通知を行いウェブサイト運営者が修正を完了したものは 93 件脆弱性ではない 2 件 3 件ウェブサイト運営者が脆弱性ではないと判断したものは 2 件ウェブサイト運営者と連絡が不可能なものが件告示で定める届連絡不可能件 7 件出の対象に該当せず不受理としたものは 4 件でしたこれらの取不受理 4 件 76 件扱いを終了したものの合計は 7 件 ( 累計 962 件 ) ですこの結合計 7 件 962 件果取扱い中 ( ウェブサイト運営者が調査対応中のもの ) のもの取扱い中 -37 件 6 件が 37 件減少し 6 件となりました ( 表 4) 今四半期のウェブサイトの脆弱性の修正完了件数は 93 件と過去最多となりました ( 図 8) 9 本脆弱性の深刻度 = レベル II( 警告 ) CVSS 基本値 =4. 別紙の表 -2 項番 4 を参照下さい本脆弱性の深刻度 = レベル III( 危険 ) CVSS 基本値 =9. 別紙の表 -2 項番を参照下さい 4

5 四半期件数 8 ウェブサイト脆弱性の修正完了ウェブサイト脆弱性の修正完了 ( 累計 ) 図 8. ウェブサイトの脆弱性の修正完了件数の四半期別推移累計件数 () ウェブサイトの脆弱性で 9 以上も対策が完了していないものが 95 件となりました IPA はウェブサイト運営者へ脆弱性の詳細情報を送付してから脆弱性対策の返信がない場合 ~2 カ月毎にウェブサイト運営者へメールや郵送手段などで脆弱性対策を促しています今四半期は修正が長期化しているウェブサイトに対し脆弱性が攻撃された場合の具体的な脅威を丁寧に解説するなど特に重点的に脆弱性対策を促しましたこの結果図 9 に示すように 9 以上も対策が完了していないものが前四半期から 22 件減少し 95 件 ( 前四半期は 7 件 ) となりました件数以上その他 SQL インジェクションクロスサイトスクリプティング累計件数 ( 右目盛 ) 899~ 8 799~ 7 699~ 6 599~ ~ ~ ~ 2 99~ 9 図 9. 修正が長期化しているウェブサイトの未修正の経過数と脆弱性の種類累計件数なお 3 以上も対策が完了していないものが 39 件 ( 前四半期は 5 件 ) ありますウェブサイトの情報が盗まれてしまう可能性のある SQL インジェクションのように深刻度の高い脆弱性でも修正が長期化しているものがありますウェブサイト運営者は脆弱性を攻撃された場合の脅威を認識し早期に対策を講じるが必要がありますこれらのウェブサイトの脆弱性の処理状況の詳細は別紙の 2 章を参照下さい本件に関するお問い合わせ先独立行政法人情報処理推進機構セキュリティセンター Tel: Fax: vuln inq@ipa.go.jp 有限責任中間法人 JPCERT コーディネーションセンター Tel: Fax: office@jpcert.or.jp 報道関係からのお問い合わせ先独立行政法人情報処理推進機構戦略企画部広報グループ横山 / 佐々木 Tel: Fax: pr inq@ipa.go.jp 有限責任中間法人 JPCERT コーディネーションセンター経営企画室広報江田 Tel: Fax: pr@jpcert.or.jp 5

6 別紙. ソフトウェア製品の脆弱性の処理状況の詳細. ソフトウェア製品の脆弱性の処理状況ソフトウェア製品の脆弱性関連情報の届出について処理状況を図 - に示します今四半期に公表した脆弱性は 3 件 ( 累計 242 件 ) ですまた不受理としたものは 8 件 ( 累計 87 件 ) です 26 年 2 月末 27 年 3 月末 27 年 6 月末 27 年 9 月末 27 年 2 月末取扱い終了 :244 件件 7 3 件件件 (4 件 ) 公表済み 2 3 不受理 242 (3) () (2) 87(8) 8 2 合計 : 428 件 229 取扱い中 254 ( 括弧内の数値は今四半期に公表個別対応脆弱性ではないと判断されたものの件数 ) 合計 :465 件合計 :5 件合計 :56 件合計 : 626 件個別対応脆弱性ではない公表済み : JVN で脆弱性への対応状況を公表したもの個別対応 : 製品開発者からの届出のうち製品開発者が個別対応したもの脆弱性ではない : 製品開発者により脆弱性ではないと判断されたもの不受理 : 告示で定める届出の対象に該当しないもの取扱い中 : 製品開発者が調査対応中のもの図 -. ソフトウェア製品各時点における脆弱性関連情報の届出の処理状況.2 届出られた製品の種類届出受付開始から今四半期までに IPA に届出られたソフトウェア製品に関する脆弱性関連情報 626 件のうち不受理のものを除いた 539 件の製品種類別の内訳を図 -2 に示します図 -2 に示すように IPA に届出があった脆弱性にはウェブアプリケーションソフトに関するものが多くあります % ウェブアプリケーションソフト 2% %% 2% 4% () 8% (8%) 39% (38%) 2% (2%) ウェブブラウザグループウェアアプリケーション開発実行環境メールソフトウェブサーバシステム管理ソフトアンチウイルスソフトルータ検索システムファイル管理ソフトワープロソフト OS その他 9% (%) (539 件の内訳グラフの括弧内は前四半期の数字 ) その他には携帯機器情報家電パソコンの周辺機器データベースプロキシなどがあります図 -2. ソフトウェア製品の脆弱性製品種類別内訳 ( 届出受付開始から 27 年 2 月末まで )

7 図 -3 にオープンソースソフトウェアとそれ以外のソフトウェアの脆弱性の届出件数の推移を示します 25 年第 3 四半期以降オープンソースソフトウェアの届出が増加し今四半期も件の届出がありましたオープンソースソフトウェアそれ以外図 -3. オープンソースソフトウェアの脆弱性の届出件数.3 脆弱性の原因と脅威届出受付開始から今四半期までに IPA に届出られたソフトウェア製品に関する脆弱性関連情報 626 件のうち不受理のものを除いた 539 件の原因別の内訳を図 -4 に原因別の届出件数の推移を図 -5 に脅威別の内訳を図 -6 に示します図 -4 に示すように脆弱性の原因はウェブアプリケーションの脆弱性が最多であり図 -6 に示すように脅威についても任意のスクリプト実行が最多となっていますこれはウェブアプリケーションソフト以外のソフトウェア製品であってもウェブブラウザから管理使用するものが多くありそこに脆弱性が存在するためでこの傾向は図 -5 に示すように 3 年以上も続いています % 2% () (4%) 4% (4%) 6% (6%) 5% 6 (62%) ウェブアプリケーションの脆弱性バッファのチェックの不備仕様上の不備ファイルのパス名内容のチェックの不備セキュリティコンテキストの適用の不備アクセス制御の不備証明書の検証に関する不備その他実装上の不備その他ウェブに関連する不備 (539 件の内訳グラフの括弧内は前四半期の数字 ) 図 -4. ソフトウェア製品の脆弱性原因別内訳 ( 届出受付開始から 27 年 2 月末まで ) 2

8 その他ウェブに関連する不備その他実装上の不備証明書の検証に関する不備アクセス制御の不備セキュリティコンテキストの適用の不備ファイルのパス名内容のチェックの不備仕様上の不備バッファのチェックの不備ウェブアプリケーションの脆弱性図 -5. ソフトウェア製品の脆弱性原因別内訳 ( 届出受付開始から ( 年 2 月末まで年 2 月末まで ) ) 4% 5% (5%) 2% 2% % 6% (6%) 7% (6%) % % 4% 任意のスクリプトの実行情報の漏洩なりすまし任意のコードの実行サービス不能任意のコマンドの実行任意のファイルへのアクセス 49% 認証情報の漏洩 (48%) 通信の不正中継アクセス制限の回避アプリケーションの異常終了セッションハイジャック資源の枯渇証明書等の確認不能その他 9% (9%) (539 件の内訳グラフの括弧内は前四半期の数字 ) 図 -6. ソフトウェア製品の脆弱性脅威別内訳 ( 届出受付開始から 27 年 2 月末まで ).4 ソフトウェア製品の脆弱性情報の調整および公表状況 JPCERT/CC は表 - に示す 2 種類の脆弱性関連情報について本国内の製品開発者等の関係者との調整および海外 CSIRT の協力のもと海外の製品開発者との調整を行っていますこれらの脆弱性関連情報に対する製品開発者の対応状況は IPA と JPCERT/CC が共同運営している脆弱性対策情報ポータルサイト JVN(Japan Vulnerability Notes) において公表しています (URL: ) 表 -. 脆弱性関連情報の提供元別脆弱性公表件数情報提供元今期累計国内の発見者から IPA に届出があったものおよび製品開発者自身から自社製品の脆弱性対策方法について連絡を受けたもの 3 件 242 件 2 海外 CSIRT 等と連携して公表したもの 7 件 33 件計 48 件 545 件 CSIRT(Computer Security Incident Response Team) はコンピュータセキュリティに関するインシデント ( 事故 ) への対応や調整サポートをするチームのことです 3

9 () 国内の発見者および製品開発者から届出があり公表した脆弱性届出受付開始から 27 年 2 月末までの届出について脆弱性関連情報の届出 ( 表 - の) を受理してから製品開発者が対応状況を公表するまでに要した数を図 -7 に示します届出受付開始から各四半期末までの 45 以内に公表される件数が 34% と減少し公表数が増加する傾向にあります製品開発者は脆弱性への早急な対応をお願いします全体 (242 件 ) 34% (45 以内の公表 ) 7 件 2 件 2 件 24 件 74 件 55 件 3 件 8 件 ~ 2~3 ~2 3~45 45 以内の公表件数の割合 27/ まで 27/ まで 27/ まで 36% 36% 34% 46~ 2~3 ~2 3~ % % 2% 4% 5% 6% 7% 8% 9% % 図 -7. ソフトウェア製品の脆弱性公表数表 -2 に国内の発見者製品開発者から届出を受け今四半期に公表した脆弱性を示しますオープンソースソフトウェアに関して開発者開発コミュニティに通知し公表したものが 7 件 ( 表 -2 の *) 製品開発者自身から自社製品に関する脆弱性対策情報について連絡を受け公表したものが 2 件 ( 表 -2 の *2) 複数の製品開発者のソフトウェア製品に影響がある脆弱性が件 ( 表 -2 の *3) あり組込みソフトウェア製品の脆弱性が件 ( 表 -2 の *4) ありました表年第 4 四半期に JVN で公表した脆弱性項番脆弱性未対策状態でのセキュリティ上の問題点脆弱性の深刻度 = レベル III( 危険 ) CVSS 基本値 =7.~. JVN 公表 CVSS 基本値 (*4) Webmin における OS コマンドインジェクションの脆弱性 Safari において HTTP 通信のページから HTTPS 通信のページにアクセス可能な脆弱性 PowerArchiver におけるバッファオーバーフローの脆弱性 AirStation シリーズおよび BroadStation シリーズにおけるクロスサイトリクエストフォージェリの脆弱性ウェブベースのシステム管理ツール Webmin には利用者からの入力の処理に問題がありましたこのため Webmin を設置しているコンピュータにおいてローカルシステム権限で任意の OS コマンドを実行される可能性がありました脆弱性の深刻度 = レベル II( 警告 ) CVSS 基本値 =4.~6.9 Apple 製ウェブブラウザ Safari には HTTPS 通信により保護されているページの内容が同じドメインの保護されていない HTTP 通信のページからアクセス可能な脆弱性が存在しましたこのため HTTPS 通信で保護されているページの内容が同じドメインの HTTP 通信のページから取得変更される可能性がありましたファイル圧縮展開ソフト PowerArchiver にはバッファオーバーフローの脆弱性が存在しましたこのため利用者のコンピュータ上で任意のコードを実行される可能性がありましたバッファロー製ルータである AirStation シリーズおよび BroadStation シリーズのウェブ設定画面にはクロスサイトリクエストフォージェリの脆弱性が存在しましたウェブ設定画面にログインした状態で悪意あるページにアクセスした場合パスワードなどの設定が変更される可能性がありました 27 年月 3 27 年月 27 年月 5 27 年月

10 項番脆弱性未対策状態でのセキュリティ上の問題点 5 (*) (*) 2 (*) 3 4 MouseoverDictionary において任意のスクリプトが実行される脆弱性一太郎シリーズにバッファオーバーフローの脆弱性一太郎シリーズにバッファオーバーフローの脆弱性一太郎シリーズにバッファオーバーフローの脆弱性 NetCommons におけるクロスサイトスクリプティングの脆弱性 Lotus Domino におけるクロスサイトスクリプティングの脆弱性 UPDIR.NET 製 updir.php におけるクロスサイトスクリプティングの脆弱性 Feed2JS におけるクロスサイトスクリプティングの脆弱性 FileMaker におけるクロスサイトスクリプティングの脆弱性 Lhaplus におけるバッファオーバーフローの脆弱性 Mozilla Firefox 用の拡張機能ソフト MouseoverDictionary にはサイドバーに HTML ページを出力する際の処理に問題がありましたこのため意図しないスクリプトが実行されてしまう可能性がありましたジャストシステムが提供する一太郎シリーズにはバッファオーバーフローの脆弱性が存在しました 7,8 で修正された問題とは異なりますこのためウェブサイト等でファイルを見るだけで利用者のコンピュータ上で任意のコードを実行される可能性がありましたジャストシステムが提供する一太郎シリーズにはバッファオーバーフローの脆弱性が存在しました 6,8 で修正された問題とは異なりますこのためウェブサイト等でファイルを見るだけで利用者のコンピュータ上で任意のコードを実行される可能性がありましたジャストシステムが提供する一太郎シリーズにはバッファオーバーフローの脆弱性が存在しました 6,7 で修正された問題とは異なりますこのためウェブサイト等でファイルを見るだけで利用者のコンピュータ上で任意のコードを実行される可能性がありましたコンテンツ管理システム NetCommons にはウェブページを出力する際のエスケープ処理に漏れがありましたこのため第三者によりウェブページにスクリプトを埋め込まれる可能性がありましたグループウェア Lotus Domino にはウェブページを出力する際のエスケープ処理に漏れがありましたこのため第三者によりウェブページにスクリプトを埋め込まれる可能性がありました画像ファイル管理ソフト UPDIR.NET 製 updir.php にはウェブページを出力する際のエスケープ処理に漏れがありましたこのため第三者によりウェブページにスクリプトを埋め込まれる可能性がありました RSS データを JavaScript に変換するソフト Feed2JS には JavaScript プログラムの出力に任意の JavaScript を埋めこめる問題がありましたこのため第三者によりウェブページにスクリプトを埋め込まれる可能性がありましたデータベースソフト FileMaker にはウェブページを出力する際のエスケープ処理に漏れがありましたこのため第三者によりウェブページにスクリプトを埋め込まれる可能性がありましたファイル圧縮展開ソフト Lhaplus にはバッファオーバーフローの脆弱性が存在しましたこのため利用者のコンピュータ上で任意のコードを実行される可能性がありました JVN 公表 27 年月 2 27 年月年月年月年月 5 27 年月 7 27 年月 9 27 年月 2 27 年月 2 27 年月 22 CVSS 基本値

11 項番脆弱性未対策状態でのセキュリティ上の問題点 JVN 公表 CVSS 基本値 5 (*2) SonicStage CP におけるバッファオーバーフローの脆弱性音楽管理ソフト SonicStage CP にはバッファオーバーフローの脆弱性が存在しましたこのため利用者のコンピュータ上で任意のコードを実行される可能性がありました 27 年 2 月 (*) (*3) 23 サイボウズ Office におけるサービス運用妨害 (DoS) の脆弱性複数のサイボウズ製品におけるクロスサイトスクリプティングの脆弱性複数のサイボウズ製品における HTTP ヘッダインジェクションの脆弱性複数のサイボウズ製品におけるクロスサイトスクリプティングの脆弱性 Rainboard におけるクロスサイトスクリプティングの脆弱性 JP/Cm2/Network Node Manager におけるクロスサイトスクリプティングの脆弱性 Apache HTTP Server の mod_imap および mod_imagemap におけるクロスサイトスクリプティングの脆弱性 Flash Player において任意の HTTP ヘッダが送信可能な脆弱性グループウェアサイボウズ Office には HTTP リクエストを処理する際にサーバリソースを過剰に消費する問題がありましたこのためサーバの処理速度が極端に低下しサービス不能状態になる可能性がありました複数のサイボウズ製品にはウェブページを出力する際のエスケープ処理に漏れがありました 9 で修正された問題とは異なりますこのため第三者によりウェブページにスクリプトを埋め込まれる可能性がありました複数のサイボウズ製品には HTTP ヘッダを出力する際の処理に問題がありましたこのため第三者によりウェブページに偽の情報が表示される可能性や意図しないスクリプトが実行されてしまう可能性がありました複数のサイボウズ製品にはウェブページを出力する際のエスケープ処理に漏れがありました 7 で修正された問題とは異なりますこのため第三者によりウェブページにスクリプトを埋め込まれる可能性がありました掲示板ソフト Rainboard にはウェブページを出力する際のエスケープ処理に漏れがありましたこのため第三者によりウェブページにスクリプトを埋め込まれる可能性がありましたネットワーク管理ソフト JP/Cm2/Network Node Manager にはウェブページを出力する際のエスケープ処理に漏れがありましたこのため第三者によりウェブページにスクリプトを埋め込まれる可能性がありました Apache HTTP Server のサーバサイドイメージマップ処理モジュール mod_imap および mod_imagemap にはウェブページを出力する際のエスケープ処理に漏れがありましたこのため第三者によりウェブページにスクリプトを埋め込まれる可能性がありましたウェブ上で音声やアニメーションを再生するためのソフト Flash Player には任意の HTTP ヘッダが送信可能な問題がありましたこのため HTTP ヘッダを基にしたセキュリティ対策を迂回される可能性がありました 27 年 2 月 27 年 2 月 27 年 2 月 27 年 2 月 27 年 2 月 2 27 年 2 月 3 27 年 2 月 3 27 年 2 月 2 6

12 項番脆弱性未対策状態でのセキュリティ上の問題点 (*) (*2) Sun Java System Web Server および Sun Java System Web Proxy Server におけるクロスサイトスクリプティングの脆弱性 WinAce におけるバッファオーバーフローの脆弱性 GreaseKit および Creammonkey における許可されていない関数が実行される脆弱性ウェブサーバ Sun Java System Web Server および Sun Java System Web Proxy Server にはログ閲覧機能にクロスサイトスクリプティングの問題がありましたこのため第三者によりウェブページにスクリプトを埋め込まれる可能性がありましたファイル圧縮展開ソフト WinAce にはバッファオーバーフローの脆弱性が存在しましたこのため利用者のコンピュータ上で任意のコードを実行される可能性がありました Apple Webkit 用拡張機能ソフト GreaseKit および Creammonkey には本来ウェブページ上のスクリプトから許可されていない関数が実行できる問題がありましたこのため第三者により任意のサイトへ HTTP リクエストを送信されたりユーザスクリプトの設定値の読み書きが行われたりする可能性がありました JVN 公表 27 年 2 月 2 27 年 2 月年 2 月 26 CVSS 基本値 (*) 29 3 (*) 3 Sleipnir および Grani のお気に入り検索機能において任意のスクリプトが実行される脆弱性 RoundCube Webmail におけるクロスサイトリクエストフォージェリの脆弱性 HttpLogger におけるクロスサイトスクリプティングの脆弱性 Google Web Toolkit におけるクロスサイトスクリプティングの脆弱性 Flash Player におけるクロスドメインポリシーファイルの扱いに関する脆弱性脆弱性の深刻度 = レベル I( 注意 ) CVSS 基本値 =.~3.9 ウェブブラウザ Sleipnir および Grani にはお気に入り機能の検索結果を出力する際のエスケープ処理に漏れがありましたこのため意図しないスクリプトが実行される可能性がありましたウェブメールソフト RoundCube Webmail にはクロスサイトリクエストフォージェリの脆弱性が存在しましたこのためメールの件名などの一部情報が漏えいする可能性がありましたウェブページの閲覧履歴全文検索ソフト HttpLogger にはウェブページを出力する際のエスケープ処理に漏れがありましたこのため第三者によりウェブページにスクリプトを埋め込まれる可能性がありましたウェブアプリケーション開発支援のためのフレームワーク Google Web Toolkit にはウェブページを出力する際のエスケープ処理に漏れがありましたこのため第三者によりウェブページにスクリプトを埋め込まれる可能性がありましたウェブ上で音声やアニメーションを再生するためのソフト Flash Player にはクロスドメインポリシーファイルの扱いに問題がありましたこのためクロスドメインポリシーで許可していないウェブページにアクセスされる可能性がありました (*): オープンソースソフトウェア製品の脆弱性 (*2): 製品開発者自身から届出られた自社製品の脆弱性 (*3): 複数開発者製品に影響がある脆弱性 (*4): 組込みソフトウェアの脆弱性 27 年月 3 27 年月 9 27 年 2 月 7 27 年 2 月 8 27 年 2 月

13 (2) 海外 CSIRT 等と連携して公表した脆弱性 JPCERT/CC が海外 CSIRT 等と連携して公表した脆弱性 25 件には通常の脆弱性情報 6 件 ( 表 -3) と対応に緊急を要する Technical Cyber Security Alert( 表 -4) の件とが含まれますこれらの脆弱性情報は通常関連する登録済み製品開発者へ通知したうえ JVN に掲載しています項番表 -3. 米国 CERT/CC 2 等と連携した脆弱性関連情報および対応状況脆弱性 JRE(Java Runtime Environment) に遠隔の第三者がネットワークリソースへ接続可能な脆弱性対応状況複数製品開発者へ通知 2 CUPS におけるバッファオーバーフローの脆弱性注意喚起として掲載 3 Mozilla Firefox における jar URI にクロスサイトスクリプティングの脆弱性注意喚起として掲載 4 Apple QuickTime RTSP の Content-Type ヘッダの処理にスタックバッファオーバーフローの脆弱性緊急案件として掲載 5 Apple Mail に任意のコマンドが実行される脆弱性注意喚起として掲載 6 ジャストシステム製品に任意のコードが実行される脆弱性特定製品開発者へ通知表 -4. 米国 US-CERT 3 と連携した脆弱性関連情報および対応状況項番 Microsoft 製品における複数の脆弱性脆弱性 2 Oracle 製品に複数の脆弱性 3 Microsoft Windows における URI 処理の脆弱性に対する Adobe 製品のアップデート 4 リアルネットワークス RealPlayer におけるプレイリストの処理にバッファオーバーフローの脆弱性 5 Apple QuickTime に複数の脆弱性 6 Microsoft 製品における複数の脆弱性 7 Apple の Mac 製品に複数の脆弱性 8 Apple QuickTime の RTSP 処理にバッファオーバーフローの脆弱性 9 Microsoft 製品における複数の脆弱性 Apple 製品における複数の脆弱性 Adobe Flash player における複数の脆弱性に対するアップデート 2 CERT/Coordination Center 998 年のウイルス感染事件を契機に米国カーネギーメロン大学に設置された CSIRT 3 United States Computer Emergency Readiness Team 米国の政府系 CSIRT 8

14 2. ウェブサイトの脆弱性の処理状況の詳細 2. ウェブサイトの脆弱性の処理状況ウェブサイトの脆弱性関連情報の届出について処理状況を図 2- に示します図 2- に示すようにウェブサイトの脆弱性について今四半期中に処理を終了したものは 7 件 ( 累計 962 件 ) でしたこのうち修正完了したものは 93 件 ( 累計 748 件 ) ウェブサイト運営者により脆弱性ではないと判断されたものは 2 件 ( 累計 3 件 ) でしたなおメールでウェブサイト運営者と連絡が取れない場合は電話や郵送手段で連絡を試みたりレンタルサーバ会社と連絡を試みたりしていますがそれでもウェブサイト運営者から回答がなく取扱い不可能なものは件 ( 累計 7 件 ) です不受理としたものは 4 件 ( 累計 76 件 ) でした取扱いを終了した累計 962 件のうち連絡不可能不受理を除く累計 879 件 (9%) は指摘された点が解消されていることがウェブサイト運営者により確認されています修正完了したものうちのウェブサイト運営者からの依頼を受け当該脆弱性が適切に修正されたかどうかを IPA が確認したものは件 ( 累計 24 件 ) ウェブサイト運営者が当該ページを削除することにより対応したものは 6 件 ( 累計 68 件 ) ウェブサイト運営者が運用により被害を回避しているものは件 ( 累計 9 件 ) でした 26 年 2 月末取扱い終了 : 67 件件合計 749 件 ( 括弧内の数字は今四半期に修正完了脆弱性ではないと判断されたもの等の件数 ) 27 年 3 月末 792 件合計 845 件 27 年 6 月末合計 94 件 845 件 27 年 9 月末合計 43 件 962 件 (7 件 ) 連絡不可能 27 年 2 月末内容確認済 24() 修正完了 748 (93) 内該当ページを削除 68(6) 内運用で回避 9() (2) ()(4) 取扱い中 6 合計 23 件脆弱性ではない不受理図 2-. ウェブサイト各時点における脆弱性関連情報の届出の処理状況修正完了 : ウェブサイト運営者により脆弱性が修正されたもの確認済 : 修正完了のうち IPA が修正を確認したもの当該ページを削除 : 修正完了のうち当該ページを削除して対応したもの運用で回避 : 修正完了のうち運用により被害を回避しているもの脆弱性ではない : ウェブサイト運営者により脆弱性はないと判断されたもの連絡不可能 : ウェブサイト運営者からの回答がなく取扱いができないもの不受理 : 告示で定める届出の対象に該当しないもの取扱い中 : ウェブサイト運営者が調査対応中のもの 9

15 2.2 ウェブサイトの脆弱性の種類と脅威届出受付開始から今四半期末までに IPA に届出られたウェブサイトの脆弱性関連情報,23 件のうち不受理のものを除いた,47 件について種類別内訳を図 2-2 に種類別の届出件数の推移を図 2-3 に脅威別内訳を図 2-4 に示します 4 7% 2% %% 2% 2%2% 2% 2% () () 5% (5%) 4 (44%) クロスサイトスクリプティング SQL インジェクションファイルの誤った公開 DNS 情報の設定不備パス名パラメータの未チェック HTTP レスポンス分割メールの第三者中継セッション管理の不備ディレクトリトラバーサル価格等の改ざんクロスサイトリクエストフォージェリ HTTPS の不適切な利用その他 28% (26%) (47 件の内訳グラフの括弧内は前四半期の数字 ) 図 2-2. ウェブサイトの脆弱性種類別内訳 ( 届出受付開始から27 年 2 月末まで ) 2 8 その他 HTTPSの不適切な利用クロスサイトリクエストフォージェリ価格等の改ざんセッション管理の不備ディレクトリトラバーサル 6 メールの第三者中継 HTTP レスポンス分割 4 パス名パラメータの未チェック DNS 情報の設定不備ファイルの誤った公開 SQL インジェクションクロスサイトスクリプティング図 2-3. ウェブサイトの脆弱性種類別件数の推移 ( 届出受付開始から 27 年 2 月末まで ) 4 それぞれの脆弱性の詳しい説明については付表 2 を参照してください

16 6% (6%) % (%) 2%2% % % 2% 本物サイト上への偽情報の表示データの改ざん消去 29% (28%) Cookie 情報の漏洩個人情報の漏洩サーバ内ファイルの漏洩なりすましドメイン情報の挿入ウェブキャッシュ情報のすり替えメールシステムの不正利用踏み台利用者のセキュリティレベルの低下 4% 26% (25%) その他 (5%) (47 件の内訳グラフの括弧内は前四半期の数字 ) 図 2-4. ウェブサイトの脆弱性脅威別内訳 ( 届出受付開始から27 年 2 月末まで ) 今四半期もクロスサイトスクリプティングが多く届出られ ( 図 2-3) 脆弱性の種類はクロスサイトスクリプティング SQL インジェクションが全体の 7 割をしめます ( 図 2-2) またクロスサイトスクリプティングや SQL インジェクションの脅威である本物サイト上への偽情報の表示 Cookie 情報の漏洩データの改ざん消去が約 7 割をしめています ( 図 2-4) ウェブサイト運営者は引き続き脆弱性を作りこまないように注意してください 2.3 ウェブサイトの脆弱性の修正状況届出受付開始から 27 年 2 月末までの届出の中で実際にウェブアプリケーションを修正したものについてウェブサイト運営者に脆弱性の詳細情報を通知してから修正されるまでに要した数およびその傾向を脆弱性の種類別に図 2-5 および図 2-6 に示します全体の 5 の届出が 3 以内全体の 78% の届出が 9 以内に修正されています 9 以内の修正件数の割合 27/ まで 27/ まで 27/ まで 79% 79% 78% 78%(9 以内の修正 ) クロスサイトスクリプティング (352 件 ) SQL インジェクション (3 件 ) DNS 情報の設定不備 (28 件 ) HTTP レスポンス分割 (2 件ファイルの誤った公開 (7 件 ) セッション管理の不備 ( 件 ) ディレクトリトラバーサル ( 件 ) メールの第三者中継 (9 件 ) HTTPS の不適切な利用 (8 件 ) クロスサイトリクエストフォージェリ (8 件 ) その他 (46 件 ) 当 ~5 6 ~ ~3 2 ~3 3 ~5 図 2-5. ウェブサイトの修正に要した数 5 ~ ~ ~2 ~3

17 クロスサイトスクリプティング (352 件 ) SQLインジェクション (3 件 ) DNS 情報の設定不備 (28 件 ) HTTPレスポンス分割 (2 件 ) ファイルの誤った公開 (7 件 ) セッション管理の不備 ( 件 ) ディレクトリトラバーサル ( 件 ) メールの第三者中継 (9 件 ) クロスサイトリクエストフォージェリ (8 HTTPSの不適切な利用 (8 件 ) その他 (46 件 ) % 2% 4% 6% 8% % ~ ~2 2 ~3 3 ~5 5 ~9 9 ~2 2 ~3 3 ~ 図 2-6. ウェブサイトの修正に要した数の傾向 3. 関係者への要望脆弱性の修正を促進していくための各関係者への要望は以下のとおりです () ウェブサイト運営者多くのウェブサイトのソフトウェアに脆弱性が発見されています自身のウェブサイトでどのようなソフトウェアを利用しているかを把握しセキュリティ対策を実施することが必要ですなお脆弱性の理解にあたっては以下のコンテンツが利用できます知っていますか? 脆弱性 ( ぜいじゃくせい ) : (2) 製品開発者 JPCERT/CC はソフトウェア製品の脆弱性関連情報について製品開発者リストに基づき一般公表の調整等を行います迅速な調整を進められるよう製品開発者リストへの登録を求めます (URL: また製品開発者自身で脆弱性を発見修正された場合も利用者への対策情報の周知のために JVN を活用できます JPCERT/CC もしくは IPA への連絡を求めます (3) 一般インターネットユーザ JVN や IPA JPCERT/CC など脆弱性情報や対策情報を公表しているウェブサイトを参照しパッチの適用など自発的なセキュリティ対策をごろから心がけていただくことが必要です脆弱性があるソフトウェアを使い続けることは避けなければなりません (4) 発見者脆弱性関連情報の適切な流通のため届出られた脆弱性関連情報は脆弱性が修正されるまでの期間は第三者に漏れぬよう適切に管理されることを要望します 2

18 付表. ソフトウェア製品脆弱性の原因分類脆弱性の原因説明届出において想定された脅威アクセス制御の不備アクセス制御を行うべき個所においてアクセス制御が欠如している設定情報の漏洩通信の不正中継なりすまし任意のスクリプトの実行認証情報の漏洩 2 ウェブアプリケーションの脆弱性ウェブアプリケーションに対し入力された情報の内容の解釈や認証情報の取扱い出力時の処理に問題があるクロスサイトスクリプティング攻撃や SQL インジェクション攻撃などに利用されてしまうアクセス制限の回避価格等の改ざんサービス不能資源の枯渇重要情報の漏洩情報の漏洩セッションハイジャック通信の不正中継なりすまし任意のコマンドの実行任意のスクリプトの実行任意のファイルへのアクセス認証情報の漏洩 3 仕様上の不備 RFC 等の公開された規格に準拠して設計実装した結果問題が生じるものプロトコル上の不備がある場合ここに含まれるサービス不能資源の枯渇 4 証明書の検証に関する不備ウェブブラウザやメールクライアントソフトに証明書を検証する機能が実装されていないまたは検証が正しく行われずに偽の証明書を受けいれてしまう証明書の確認不能なりすまし 5 セキュリティコンテキストの適用の不備本来厳しい制限のあるセキュリティコンテキストで取り扱うべき処理を緩い制限のセキュリティコンテキストで処理してしまうアプリケーションの異常終了情報の漏洩任意のコードの実行任意のスクリプトの実行 6 バッファのチェックの不備想定外の長さの入力が行われた場合に長さをチェックせずバッファに入力してしまうバッファオーバーフロー攻撃に利用されてしまうサービス不能任意のコードの実行任意のコマンドの実行 7 ファイルのパス名内容のチェックの不備処理の際のパラメータとして指定されているディレクトリ名やファイル名ファイルの内容をチェックしていない任意のディレクトリのファイルを指定できてしまいディレクトリトラバーサル攻撃に利用されてしまうまた破損したファイルや不正に書き換えられたファイルを処理した際に不具合が生じるアプリケーションの異常終了サービス不能資源の枯渇任意のファイルへのアクセス認証情報の漏洩参考

19 付表 2 ウェブサイト脆弱性の分類脆弱性の種類深刻度説明ファイルの誤った公開パス名パラメータの未チェックディレクトリトラバーサルセッション管理の不備 SQL インジェクション高高高高高一般に公開すべきでないファイルが公開されており自由に閲覧できる状態になっているユーザからの入力を処理する際のパラメータとして指定されているファイル名をユーザが変更しウェブサーバ上の任意のディレクトリのファイルを指定できてしまうウェブサーバ上のディレクトリのアクセス権を超えて本来許可されている範囲外のディレクトリにアクセスできるセッション管理に推測可能な情報を使用しているため他のユーザの情報が容易に推測でき他のユーザになりすましてサービスを利用することができる入力フォームなどへ SQL コマンド ( データベースへの命令 ) を入力しデータベース内の情報の閲覧更新削除などができる届出において想定された脅威個人情報の漏洩サーバ内ファイルの漏洩データの改ざん消去なりすましサーバ内ファイルの漏洩個人情報の漏洩サーバ内ファイルの漏洩 Cookie 情報の漏洩個人情報の漏洩なりすまし個人情報の漏洩サーバ内ファイルの漏洩データの改ざん消去 6 DNS 情報の設定不備高 DNS サーバに不適切な情報が登録されているため第三者がそのドメイン名の持ち主であるかのようにふるまえてしまうドメイン情報の挿入 7 オープンプロキシ中外部の第三者により他のサーバへのアクセスを中継するサーバとして利用され不正アクセスなどの際にアクセス元を隠すための踏み台にされてしまう踏み台 8 クロスサイトスクリプティング中ユーザの Cookie 情報を知らないうちに転送させたり偽の情報を表示させたりするような罠のリンクをユーザにクリックさせ個人情報等を盗むことができる Cookie 情報の漏洩サーバ内ファイルの漏洩個人情報の漏洩データの改ざん消去なりすまし本物サイト上への偽情報の表示 9 クロスサイトリクエストフォージェリ中ユーザを罠のページに誘導することでそのユーザが登録済みのサイトにひそかにアクセスさせ登録情報の変更や商品の購入をさせることができるデータの改ざん消去 HTTP レスポンス分割中攻撃者がユーザに対し悪意のある要求をウェブサーバに送信するように仕向けることでウェブサーバからの応答を分割させて応答内容をすり替えユーザに対して偽のページを表示させることができるウェブキャッシュ情報のすり替えセキュリティ設定の不適切な変更中ユーザに対しソフトウェアをインストールさせたりブラウザのセキュリティレベルを下げるよう指示することでクライアント PC のセキュリティ設定を低下させる利用者のセキュリティレベルの低下 2 リダイレクタの不適切な利用中ウェブサーバに設置したリダイレクタが悪意あるリンクへの踏み台にされたりそのウェブサイト上で別のサイト上のページを表示させられてしまう踏み台本物サイト上への偽情報の表示 3 フィルタリングの回避中ウェブサイトのサービスやブラウザの機能として提供されているフィルタリング機能が回避される問題これにより本来制限されるはずのウェブページを閲覧してしまう利用者のセキュリティレベルの低下なりすまし 2

20 4 5 6 脆弱性の種類深刻度説明 OS コマンドインジェクションメールの第三者中継 HTTPS の不適切な利用中低低 7 価格等の改ざん低攻撃者がウェブアプリケーションを介してウェブサーバの OS コマンドを実行できてしまいサーバ内ファイルの閲覧やシステム操作不正なプログラムの実行などを行われてしまう利用者が入力した内容を管理者が指定したメールアドレスに送信する機能で外部の利用者が宛先メールアドレスを自由に指定できてしまい迷惑メール送信の踏み台に悪用される HTTPS による暗号化をしているが暗号の選択や設定が十分でなかったりウェブサイトでのユーザへの説明に間違いがあるまたはウェブサイトの設計上ユーザから証明書が確認できないショッピングサイトにおいて価格情報等が利用者側で書き換えられる書き換えによる被害はウェブサイト側に限定される届出において想定された脅威任意のコマンドの実行メールシステムの不正利用なりすましデータの改ざん API : Application Program Interface CGI : Common Gateway Interface DNS : Domain Name System HTTP : Hypertext Transfer Protocol HTTPS : Hypertext Transfer Protocol Security ISAKMP : Internet Security Association Key Management Protocol MIME : Multipurpose Internet Mail Extension RFC : Request For Comments SQL : Structured Query Language SSI : Server Side Include SSL : Secure Socket Layer TCP : Transmission Control Protocol URI : Uniform Resource Identifier URL : Uniform Resource Locator 付図. 情報セキュリティ早期警戒パートナーシップ ( 脆弱性関連情報取扱いの枠組み ) 脆弱性関連情報流通体制ソフトウェア製品の脆弱性発見者脆弱性関連情報届出受付分析機関受付機関報告された報告された脆弱性脆弱性関連情報の関連情報の内容確認内容確認検証分析支援機関分析機関脆弱性関連情報通知調整機関公表の決定海外の調整機関との連携等対応状況の集約公表の調整等対策情報ポータル脆弱性対策情報ポータルソフト開発者等システム導入支援者等セキュリティ対策推進協議会等対策方法等対応状況等公表公表ユーザー政府企業個人 Web サイトの脆弱性脆弱性関連情報届出報告された脆弱性産総研など脆弱性関連情報通知脆弱性関連情報通知関連情報の検証 Webサイト運営者 Webサイト運営者検証対策実施検証対策実施個人情報の漏えい時は事実関係を公表個人情報漏洩時は事実関係を公表期待効果製品開発者及びウェブサイト運営者による脆弱性対策を促進 2 不用意な脆弱性関連情報の公表や脆弱性の放置を抑制 3 個人情報等重要情報の流出や重要システムの停止を予防 IPA: 独立行政法人情報処理推進機構 JPCERT/CC: 有限責任中間法人 JPCERT コーディネーションセンター産総研 : 独立行政法人産業技術総合研究所 3

untitled

untitled 200 7 19 JPCERT [2007 2 4 6 ] IPA JPCERT JPCERT/CC 2007 2 4 6 1 2 1. 2007 2 1 2007 4 1 6 30 IPA 46 95 141 2004 7 8 501 940 1,441 3 2 (1) 3 2004 7 8 1 2007 2 1.98 1 2005/1Q 2005/2Q 2005/3Q 2005/4Q 2006/1Q