脆弱性対策情報データベース JVN ipedia に関する活動報告レポート [2016 年第 1 四半期 (1 月 ~3 月 )] 脆弱性対策情報データベース JVN ipedia に関する活動報告レポートについて本レポートでは 2016 年 1 月 1 日から 2016 年 3 月 31 日まで

Size: px

Start display at page:

Download "脆弱性対策情報データベース JVN ipedia に関する活動報告レポート [2016 年第 1 四半期 (1 月 ~3 月 )] 脆弱性対策情報データベース JVN ipedia に関する活動報告レポートについて本レポートでは 2016 年 1 月 1 日から 2016 年 3 月 31 日まで"

やすはるひのと
4 years ago
Views:

1 脆弱性対策情報データベース JVN ipedia に関する活動報告レポート [216 年第 1 四半期 (1 月 ~3 月 )] 脆弱性対策情報データベース JVN ipedia に関する活動報告レポートについて本レポートでは 216 年 1 月 1 日から 216 年 3 月 31 日までの間に JVN ipedia で登録をした脆弱性対策情報の統計及び事例について紹介しています独立行政法人情報処理推進機構技術本部セキュリティセンター 216 年 4 月 26 日

2 目次年第 1 四半期脆弱性対策情報データベース JVN ipedia の登録状況脆弱性対策情報の登録状況注目情報今四半期に公開した OpenSSL の脆弱性対策情報について JVN ipedia の登録データ分類脆弱性の種類別件数脆弱性に関する深刻度別割合脆弱性対策情報を公表した製品の種類別件数脆弱性対策情報の製品別登録状況脆弱性対策情報の活用状況

3 年第 1 四半期脆弱性対策情報データベース JVN ipedia の登録状況脆弱性対策情報データベース JVN ipedia( ) はソフトウェア製品に関する脆弱性対策情報を 27 年 4 月 25 日から日本語で公開していますシステム管理者が迅速に脆弱性対策を行えるよう 1) 国内のソフトウェア開発者が公開した脆弱性対策情報 2) 脆弱性対策情報ポータルサイト JVN (*1) で公表した脆弱性対策情報 3) 米国国立標準技術研究所 NIST (*2) の脆弱性データベース NVD (*3) が公開した脆弱性対策情報を集約翻訳しています 1-1. 脆弱性対策情報の登録状況 ~ 脆弱性対策情報の登録件数の累計は 59,547 件 ~ 216 年第 1 四半期 (216 年 1 月 1 日から 3 月 31 日まで ) に JVN ipedia 日本語版へ登録した脆弱性対策情報は右表の通りとなり脆弱性対策情報の登録件数の累計は 59,547 件でした ( 表 1-1 図 1-1) JVN ipedia 英語版へ登録した脆弱性対策情報も右表の通り累計で 1,372 件になりました日本語版英語版表年第 1 四半期の登録件数情報の収集元登録件数累計件数国内製品開発者 2 件 174 件 JVN 215 件 6,292 件 NVD 1,236 件 53,81 件計 1,453 件 59,547 件国内製品開発者 2 件 174 件 JVN 33 件 1,198 件計 35 件 1,372 件四半期件数 5, 4, 3, 2, 1, 国内製品開発者から収集したもの JVN から収集したもの NVD から収集したもの累計件数 ( 右目盛り ) 51,499 53,235 54,714 56,475 58,94 59,547 7, 6, 5, 4, 累計 3, 件 2, 数 1, 27/4/25 公開開始 4Q 214 1Q 215 2Q 215 3Q 215 4Q 215 1Q 216 図 1-1. JVN ipedia の登録件数の四半期別推移 (*1) Japan Vulnerability Notes 脆弱性対策情報ポータルサイト製品開発者の脆弱性への対応状況を公開しシステムのセキュリティ対策を支援しています IPA JPCERT/CC が共同で運営しています (*2) National Institute of Standards and Technology 米国国立標準技術研究所米国の科学技術分野における計測と標準に関する研究を行う機関 (*3) National Vulnerability Database NIST が運営する脆弱性データベース 2

4 1-2. 注目情報今四半期に公開した OpenSSL の脆弱性対策情報について ~ 脆弱性対策情報 11 件の内 4 件が最も深刻度の高いレベル Ⅲ 危険 ~ 216 年 3 月に暗号通信を解読される DROWN と呼ばれる脆弱性 (*4) が公表されましたこれは通信路暗号に使われる SSLv2 のプロトコルに関する脆弱性で中間者攻撃により SSLv2 をサポートしているサーバの暗号通信を解読される可能性がありますまた TLS 通信であっても SSLv2 の通信と同一の秘密鍵を使用している場合通信内容を解読される可能性があります公表された情報によると HTTPS サーバ全体の 33% に影響があるとされておりそのことから広く一般にも注目されました脆弱性の対象となる SSLv2 のプロトコルを利用するソフトウェアの一つにサーバやルータなどで広範囲に利用される OpenSSL があります JVN ipedia の 216 年 1 月から 216 年 3 月に登録された OpenSSL の脆弱性対策情報をみると DROWN の脆弱性対策情報 (*5) を含めて 11 件が登録されています ( 表 1-2) 登録された OpenSSL の脆弱性対策情報の CVSSv2 基本値 ( 脆弱性の深刻度を示す値 ) に着目すると深刻度が危険 (CVSSv2 基本値 =7.~1.) と分類される脆弱性対策情報が 4 件登録されており DROWN 以外の脆弱性にも危険な脆弱性が複数存在していることがわかりますこれらの脆弱性を悪用されることで重要な情報が漏えいする改ざんされるあるいはサービスを停止されられるといった深刻な被害を受ける可能性があります表 1-2. OpenSSL に関する脆弱性対策情報 (216 年 1 月 ~216 年 3 月 ) No ID(CVE) タイトル公表日 CVSSv2 基本値 1 JVNDB OpenSSL の crypto/dsa/dsa_ameth.c の sa_priv_decode 関数における (CVE ) メモリ二重解放の脆弱性 216/3/ JVNDB OpenSSL の crypto/bio/b_print.c の fmtstr 関数におけるサービス運用妨 (CVE ) 害 (DoS) の脆弱性 216/3/ JVNDB OpenSSL の crypto/bio/b_print.c の doapr_outch 関数における整数 (CVE ) オーバーフローの脆弱性 216/3/ JVNDB OpenSSL の SRP_VBASE_get_by_user の実装におけるサービス運用妨害 (CVE ) (DoS) の脆弱性 216/3/ JVNDB (CVE ) OpenSSL における整数オーバーフローの脆弱性 216/3/ JVNDB (CVE ) OpenSSL の ssl/s2_srvr.c における暗号保護メカニズムを破られる脆弱性 215/12/ JVNDB (CVE-216-8) SSLv2 の暗号通信を解読可能な脆弱性 (DROWN 攻撃 ) 216/3/ JVNDB OpenSSL の SSLv2 の実装の s2_srvr.c の get_client_master_key 関数にお (CVE ) ける MASTER-KEY 値を決定される脆弱性 216/3/ JVNDB OpenSSL の SSLv2 の実装の s2_srvr.c のオラクル保護メカニズムにおける (CVE ) TLS 暗号文データを解読される脆弱性 216/3/ JVNDB OpenSSL の crypto/dh/dh_check.c の DH_check_pub_key 関数におけ (CVE ) るプライベート DH 指数を取得される脆弱性 216/1/ JVNDB (CVE ) OpenSSL の crypto/bn/bn_exp.c の MOD_EXP_CTIME_COPY_FROM_PREBUF 関数における RSA の鍵を取得 216/3/1 1.9 OpenSSL はファイルや通信の暗号化処理などで多数の製品に広く利用または組み込まれていますシステム管理者や運用者は脆弱性を悪用する攻撃に対して被害を受けないようにするため日々 (*4) The DROWN Attack (*5) SSLv2 の暗号通信を解読可能な脆弱性 (DROWN 攻撃 ) 3

5 最新の情報を収集し使用しているソフトウェアに脆弱性が確認された場合は対策済みの最新バージョンを利用することが重要となりますなお製品に組み込まれ意識せずに利用している可能性もあるため製品ベンダーの提供している製品情報なども確認しもし組み込まれている場合はその製品も同様の対応が必要です 4

6 2. JVN ipedia の登録データ分類 2-1. 脆弱性の種類別件数図 2-1 のグラフは 216 年第 1 四半期に JVN ipedia へ登録された脆弱性対策情報を共通脆弱性タイプ一覧別に分類し件数を集計した示したものです集計結果は件数が多い順に CWE-119( バッファエラー ) が 261 件 CWE-2( 情報漏えい ) が 151 件 CWE-2( 不適切な入力確認 ) が 126 件 CWE-79( クロスサイトスクリプティング ) が 123 件 CWE-264( 認可権限アクセス制御 ) が 12 件でした最も件数の多かった CWE-119 ( バッファエラー ) は悪用されるとサーバや PC 上で悪意のあるコードが実行されデータを盗み見られたり改ざんされるなどの被害が発生する可能性があります製品開発者はソフトウェアの企画設計段階からセキュリティ対策を講じ脆弱性の低減に努めることが求められますなお IPA ではそのための資料やツールとして開発者や運営者が適切な (*6) セキュリティを考慮したウェブサイトを作成するための資料安全なウェブサイトの作り方脆弱性の仕組みを実習形式や演習機能で学ぶことができる脆弱性体験学習ツール AppGoat (*7) を公開しています件数 CWE-119 : バッファエラー CWE-2 : 情報漏えい CWE-2 : 不適切な入力確認 CWE-79 : クロスサイトスクリプティング CWE-264 : 認可権限アクセス制御 CWE-399 : リソース管理の問題 CWE-352 : クロスサイトリクエストフォージェリ CWE-255 : 証明書パスワード管理 CWE-22 : パストラバーサル CWE-89 :SQL インジェクション CWE-119 CWE-2 CWE-2 CWE-79 CWE-264 CWE-399 CWE-352 CWE-255 CWE-22 CWE-89 図年第 1 四半期に登録された脆弱性の種類別件数 (*6) 安全なウェブサイトの作り方 (*7) 脆弱性体験学習ツール AppGoat 5

7 2-2. 脆弱性に関する深刻度別割合図 2-2 のグラフは JVN ipedia に登録済みの脆弱性対策情報を CVSSv2 の値を参考にその深刻度別に分類し公表年別にその推移を示したものです脆弱性対策情報の公開開始から 216 年 3 月 31 日までに JVN ipedia に登録された脆弱性対策情報は深刻度別にレベルⅢが全体の 4.1% レベルⅡが 52.6% レベルⅠが 7.3% となっていますこれら既知の脆弱性の深刻度は約 93% が情報の漏えい改ざんされるような高い脅威であるレベルⅡ 以上となっています既知の脆弱性による脅威を回避するため製品利用者は脆弱性が解消されている製品へのバージョンアップやアップデートなどを速やかに行ってくださいなお JVN ipedia では CVSSv2 によるこれまでの評価方法に加えて 215 年 12 月 1 日より CVSSv3 による評価方法も試行運用しています件数 1, 9, 8, 7, 6, 5, 4, 3, 2, 1, レベル Ⅲ( 危険 CVSS 基本値 =7.~1.) レベル Ⅱ( 警告 CVSS 基本値 =4.~6.9) レベル Ⅰ( 注意 CVSS 基本値 =.~3.9) 6,595 6,463 5,72 5,695 4,743 4,48 ~ ,457 図 2-2. 脆弱性の深刻度別件数 5,862 7,284 6, (~216/3/31) 2-3. 脆弱性対策情報を公表した製品の種類別件数図 2-3 のグラフは JVN ipedia に登録済みの脆弱性対策情報をソフトウェア製品の種類別に件数を集計し年次でその推移を示したものです最も多いのはアプリケーションに関する脆弱性対策情報で全件の 77.4% を占めています件数 1, 9, 8, 7, 6, 5, 4, 3, 2, 1, 産業用制御システム組込みソフトウェアアプリケーション OS 6,615 6,465 5,725 5,697 4,759 4,55 ~ (~216/3/31) 5,464 5,868 7,295 6,195 図 2-3. 脆弱性対策情報を公表した製品の種類別件数の公開年別推移 959 6

また 27 年以降重要インフラなどで利用される産業用制御システムに関する脆弱性対策情報が登録されるようになっていますこれまでに累計で 815 件が登録されています ( 図 2-4) 2 16 登録件数 12 8 4 189 178 14

8 また 27 年以降重要インフラなどで利用される産業用制御システムに関する脆弱性対策情報が登録されるようになっていますこれまでに累計で 815 件が登録されています ( 図 2-4) 2 16 登録件数年 28 年 29 年 21 年 211 年 212 年 213 年 214 年 215 年 216 年図 2-4. JVN ipedia 登録件数 ( 産業用制御システムのみ抽出 ) (~216/3/31) 7

9 2-4. 脆弱性対策情報の製品別登録状況表 2-4 は 216 年第 1 四半期 (1 月 ~3 月 ) に脆弱性対策情報の登録件数が多かった製品の上位 2 件を示したものです上位 2 件中 8 件が OS 製品また 1 位をはじめとした 5 件はブラウザ製品となっています OS 製品とブラウザ製品で上位 2 件の半数以上を占めており脆弱性対策情報が多く登録されています製品の利用者や開発者は自組織などで使用しているソフトウェアの脆弱性情報を迅速に入手し効率的な対策に役立ててください (*8) 表 2-4. 製品別 JVN ipedia の脆弱性対策情報登録件数上位 2 件 [216 年 1 月 ~216 年 3 月 ] 順位カテゴリ製品名 ( ベンダー ) 登録件数 1 ブラウザ Google Chrome(Google) OS Microsoft Windows Server 212( マイクロソフト ) 77 3 OS Microsoft Windows 1( マイクロソフト ) 76 4 統合業務パッケージ Oracle E-Business Suite( オラクル ) 75 4 OS Microsoft Windows 8.1( マイクロソフト ) 75 6 動画再生ソフト Adobe Flash Player( アドビシステムズ ) 74 6 実行環境 Adobe AIR( アドビシステムズ ) 74 6 開発環境 Adobe AIR SDK & Compiler( アドビシステムズ ) 74 6 開発環境 Adobe AIR SDK( アドビシステムズ ) 74 1 ブラウザ Mozilla Firefox(Mozilla Foundation) 6 11 ブラウザ Microsoft Internet Explorer( マイクロソフト ) OS Microsoft Windows RT 8.1( マイクロソフト ) OS Apple Mac OS X( アップル ) ブラウザ Microsoft Edge( マイクロソフト ) OS ios( アップル ) ネットワーク解析 Wireshark(Wireshark) OS Android(Google) ミドルウェア MySQL( オラクル ) ブラウザ Mozilla Firefox ESR(Mozilla Foundation) 34 2 OS Microsoft Windows 7( マイクロソフト ) 3 (*8) 脆弱性情報の収集や集めた情報の活用方法についての手引きをまとめたレポート脆弱性対策の効果的な進め方( 実践編 ) を公開 8

10 3. 脆弱性対策情報の活用状況表 3-1 は 216 年第 1 四半期 (1 月 ~3 月 ) にアクセスの多かった JVN ipedia の脆弱性対策情報の上位 2 件を示したものです 1 位は F5 BIG-IP 製品に関する脆弱性であり多くのサイトなどで利用されている製品であるため注目がされていることが推測されます 2 位は glibc に関する脆弱性でありブログやニュースサイトなどで注目されたことによりアクセス数が増えたと考えられますなお 1 位 2 位の Java に関する脆弱性については利用が非常に多いソフトウェアであり悪用された場合の被害も大きいことが想定されたため IPA からは注意喚起情報も発信しています (*9) 表 3-1.JVN ipedia の脆弱性対策情報へのアクセス上位 2 件 [216 年 1 月 ~216 年 3 月 ] 順位 ID タイトル 1 JVNDB 複数の F5 BIG-IP 製品における AOM へのログインアクセス権を取得される脆弱性 CVSSv2 基本値公開日 /1/15 2 JVNDB glibc にバッファオーバーフローの脆弱性 /2/18 3 JVNDB JVNDB JVNDB JVNDB JVNDB JVNDB JVNDB JVNDB JVNDB JVNDB JVNDB Cisco Adaptive Security Appliance (ASA) の IKEv1 と IKEv2 の処理にバッファオーバーフローの脆弱性複数の HP Thin Client デバイスで使用される HP Easy Deploy における任意のコードを実行される脆弱性 DXライブラリにおけるバッファオーバーフローの脆弱性 QEMU の hw/net/pcnet.c の pcnet_receive 関数におけるバッファオーバーフローの脆弱性 OpenSSL およびその他の製品で使用される SSL プロトコルにおける平文データを取得される脆弱性 CLUSTERPRO X におけるディレクトリトラバーサルの脆弱性 HOME SPOT CUBE における OS コマンドインジェクションの脆弱性複数の Oracle Java 製品における AWT に関する脆弱性バッファロー製の複数のネットワーク機器におけるクロスサイトスクリプティングの脆弱性 JOB-CUBE におけるクロスサイトスクリプティングの脆弱性 H2O における HTTP ヘッダインジェクションの脆弱性 /2/ /4/ /1/ /1/ /1/ /1/ /1/ /1/ /1/ /1/ /1/15 (*9) Oracle Java の脆弱性対策について (CVE 等 ) 9

11 順位 ID タイトル CVSSv2 基本値公開日 14 JVNDB CG-WLBARGS における認証不備の脆弱性 /12/25 15 JVNDB JVNDB JVNDB JVNDB JVNDB JVNDB Windows 版および Mac OS 版 LINE におけるサービス運用妨害 (DoS) の脆弱性 CG-WLNCM4G がオープンリゾルバとして機能してしまう問題 OpenSSL における Change Cipher Spec メッセージの処理に脆弱性 Vine MV におけるクロスサイトスクリプティングの脆弱性 HOME SPOT CUBE におけるクリックジャッキングの脆弱性 Oracle Java SE および Java SE Embedded における 2D に関する脆弱性 /2/ /12/ /6/ /1/ /1/ /1/2 表 3-2 は国内の製品開発者から収集した脆弱性対策情報でアクセスの多かった上位 5 件を示しています対象製品を利用している場合システム管理者はベンダーが提供する対策パッチなどを早期に自システムに適用し攻撃による被害を未然に防ぐことが重要です表 3-2. 国内の製品開発者から収集した脆弱性対策情報へのアクセス上位 5 件 [216 年 1 月 ~216 年 3 月 ] 順位 ID タイトル ucosminexus Portal Framework および Groupmax 1 JVNDB Collaboration におけるクロスサイトスクリプティングの脆弱性 2 JVNDB EUR における複数のクロスサイトスクリプティングの脆弱性 3 JVNDB JP1/Automatic Job Management System 3 における脆弱性 4 JVNDB Hitachi Command Suite 製品における任意のファイルを参照される脆弱性 5 JVNDB Hitachi Command Suite 製品における外部のファイルをブラウザにロードできる脆弱性 CVSSv2 基本値公開日 /12/ /12/ /12/ /12/ /2/24 注 1)CVSSv2 基本値の深刻度による色分け CVSS 基本値 =.~3.9 深刻度 = レベル I( 注意 ) 注 2) 公開日の年による色分け CVSS 基本値 =4.~6.9 深刻度 = レベル II( 警告 ) CVSS 基本値 =7.~1. 深刻度 = レベル III( 危険 ) 214 年以前の公開 215 年の公開 216 年の公開 1

脆弱性対策情報データベース JVN ipedia に関する活動報告レポート [2019 年第 2 四半期 (4 月 ~6 月 )] 脆弱性対策情報データベース JVN ipedia に関する活動報告レポートについて本レポートでは 2019 年 4 月 1 日から 2019 年 6 月 30 日まで

脆弱性対策情報データベース JVN ipedia に関する活動報告レポート [2019 年第 2 四半期 (4 月 ~6 月 )] 脆弱性対策情報データベース JVN ipedia に関する活動報告レポートについて本レポートでは 2019 年 4 月 1 日から 2019 年 6 月 30 日までの間に JVN ipedia で登録をした脆弱性対策情報の統計及び事例について紹介しています独立行政法人情報処理推進機構セキュリティセンター