別紙 年第 3 四半期脆弱性対策情報データベース JVN ipedia の登録状況 ( 詳細 ) 1. 脆弱性対策情報の登録状況 年第 3 四半期に登録した脆弱性の種類別件数図 8 のグラフは JVN ipedia へ 2012 年第 3 四半期に登録した脆弱性対策情

Transcription

1 別紙 年第 3 四半期脆弱性対策情報データベース JVN ipedia の登録状況 ( 詳細 ) 1. 脆弱性対策情報の登録状況 年第 3 四半期に登録した脆弱性の種類別図 8 のグラフは JVN ipedia へ 212 年第 3 四半期に登録した脆弱性対策情報を CWE のタイプ別に分類したを示したものです が多い脆弱性は CWE-79( クロスサイト スクリプティング ) が 978 件 CWE-89(SQL インジェクション ) が 89 件 CWE-119( バッファエラー ) が 684 件 CWE-264( 認可 権限 アクセス制御の問題 ) が 487 件 CWE-22( パス トラバーサル ) が 34 件 CWE-2( 不適切な入力確認 ) が 311 件 などとなっています これらは広く認知されている脆弱性の種類です 製品開発者は これらの脆弱性に関してソフトウェアの企画 設計段階から セキュリティ対策を講じる必要があります なお IPA では 参考資料として セキュア プログラミング講座 (*6) 実習形式による脆弱性体験学習ツール AppGoat (*7) を公開し セキュアなプログラム開発の促進に努めています CWE 79 : クロスサイト スクリプティング CWE 89 :SQL インジェクション CWE 119 : バッファエラー CWE 264 : 認可 権限 アクセス制御の問題 CWE 22 : パス トラバーサル CWE 2 : 不適切な入力確認 CWE 94 : コード インジェクション CWE 2 : 情報漏えい CWE 399 : リソース管理の問題 CWE 287 : 不適切な認証 CWE 79 CWE 89 CWE 119 CWE 264 CWE 22 CWE 2 CWE 94 CWE 2 CWE 399 CWE 図 年第 3 四半期に登録した脆弱性の種類別 1.2 脆弱性に関する年別の深刻度別割合図 9 のグラフは JVN ipedia に登録済みの脆弱性対策情報について 脆弱性の深刻度別のの公表年別推移を示したものです 212 年 9 月 3 日までに JVN ipedia に登録済みの脆弱性対策情報の深刻度別割合は レベル III( 危険 =7.~1.) が 45% レベル II( 警告 =4.~6.9) が 48% レベル I ( 注意 =.~3.9) が 7% となっています 深刻度の高い脆弱性が多数登録されていることから 製品利用者は情報を日々収集し 製品のバージョンアップやセキュリティ対策パッチの適用などを速やかに行うことが重要です (*6) (*7) 脆弱性体験学習ツール AppGoat

2 5,5 5, 4,5 4, 3,5 3, 2,5 2, 1,5 1, 5 レベル III( 危険 =7.~1.) レベル II ( 警告 =4.~6.9) レベル I ( 注意 =.~3.9) ,64 4,783 4,333 4,365 4,6 4,254 3, (~212/9/3) 図 9. 脆弱性に関する年別の深刻度別割合 1.3 脆弱性対策情報を公表した製品の種類別図 1 のグラフは JVN ipedia に登録済みの脆弱性対策情報について その製品の種類別の公表年別推移を示したものです 211 年第 4 四半期から NVD から日々公開される全ての脆弱性対策情報を JVN ipedia の登録対象としたこともあり アプリケーションの脆弱性対策情報の登録が増加しています 近年では 27 年の 4,27 件から 211 年の 3,755 件まで 4, 件前後のアプリケーションの脆弱性が毎年登録されており 212 年も同様の傾向で推移をしています 28 年頃からは 重要インフラなどで利用される 産業用制御システムの脆弱性対策情報が登録されています 28 年分として 8 件 29 年分は 1 件 21 年分は 21 件 211 年分は 87 件 212 年分は 138 件 合計 264 件の産業用制御システムに関する脆弱性対策情報を登録しています 毎年 数多くのアプリケーションが新しく開発され それらにおいて脆弱性が発見されており アプリケーションのセキュリティ対策は重要度を増しています 製品利用者は脆弱性対策情報を日々収集し バージョンアップやセキュリティ対策パッチの適用などを速やかに行うことが重要で す 6, 5, 4, 3, 産業用制御システム組込みソフトウェアアプリケーション OS 2,646 4,784 4,338 4,367 4,77 4,286 3,734 2, 1, 図 1. 脆弱性対策情報を公表した製品の種類別の公開年別推移 (~212/9/3) - 6 -

3 1.4 オープンソースソフトウェアの割合 図 11 のグラフは JVN ipedia に登録済みの脆弱性対策情報について オープンソースソフトウェア (OSS) と OSS 以外のソフトウェアの公表年別推移を示したものです OSS の割合の年別推移を見 ると 近年では 28 年以降の OSS の割合が減少傾向となっていましたが 211 年には NVD から 日々公開される全ての脆弱性対策情報を登録対象としたことも一因となって 1,567 件の OSS に関 する情報を登録しています その結果 211 年の OSS の割合は 21 年の 35% から 37% に増加し ました 全体から見た割合は OSS が 39% OSS 以外が 61% となっています 6, OSS 以外 OSS( オープンソースソフトウェア ) 5, OSSの割合 ( 右目盛り ) 4, 3, 2, 1, (~212/9/3) 図 11. オープンソースソフトウェア (OSS) と OSS 以外の公開年別推移 (%) O S S の割合 1.5 製品開発者 ( ベンダー ) の内訳 図 12 図 13 のグラフは JVN ipedia に登録済みの製品開発者 ( ベンダー ) に関して OSS のベ ンダーの内訳と OSS 以外のベンダーの内訳をそれぞれ示したものです OSS ベンダーの内訳は 国内ベンダーが 83 ( 日本法人有り ) が 57 ( 日本法人無し ) が 3,8 合計 3,22 ベンダーとなっています OSS 以外は 国内ベンダーが 163 ( 日本法人有り ) が 193 ( 日本法人無し ) が 2,795 合計 3,151 ベンダ ーとなっています OSS に関しては 日本法人の無いの脆弱性対策情報が数多く登録されています OSS を利用する場合 製品のバージョンアップやセキュリティパッチの適用などのノウハウを持た ない製品利用者は 製品のサポートサービスの活用 保守契約上の取り決め等の考慮が必要です 国内ベンダー 8357 ( 日本法人有り ) 国内ベンダー ( 日本法人有り ) ( 日本法人無し ) 3,8 ( 日本法人無し ) 2,795 合計 3,22 ベンダー 図 12.OSS のベンダーの内訳 合計 3,151ベンダー図 13.OSS 以外のベンダーの内訳 - 7 -

4 2. 脆弱性対策情報の活用状況表 3 は 212 年第 3 四半期 (7 月 ~9 月 ) にアクセスの多かった JVN ipedia の脆弱性対策情報を の多い順に上位 2 件まで示しています 表 4 は国内の製品開発者から収集した脆弱性対策情報の上位 5 件を示しています 表 3.JVN ipedia の脆弱性対策情報の上位 2 件 [212 年 7 月 ~212 年 9 月 ] 1 JVNDB Oracle Java 7 に脆弱性 /8/29 2 JVNDB JVNDB 複数の GREE 製 Android アプリにおける WebView クラスに関する脆弱性 Apache Hadoop の DataNode における任意のブロックを読まれる脆弱性 4 JVNDB Yahoo! ツールバー (Chrome 版 / Safari 版 ) においてツールバーが書き換え可能な脆弱性 5 JVNDB JVNDB Apache HTTP Server の protocol.c における HTTPOnly cookies の値を取得される脆弱性 GNU C Library の stdlib における整数オーバーフローの脆弱性 7 JVNDB Android 版 LINE における暗黙的 Intent の扱いに関する脆弱性 8 JVNDB JVNDB SSL と TLS の CBC モードに選択平文攻撃の脆弱性 Apache HTTPD サーバにサービス運用妨害 (DoS) の脆弱性 1 JVNDB Android 版嫁コレにおける端末識別番号の管理不備の脆弱性 11 JVNDB Yahoo! ブラウザーにおける WebView クラスに関する脆弱性 /8/ /7/ /7/ /2/ /8/ /8/ /1/ /9/ /7/ /7/13 12 JVNDB PHP の stream の実装における脆弱性 /7/ JVNDB Ruby のハッシュ関数の実装におけるサービス運用妨害 (DoS) の脆弱性 JVNDB WordPress における重要な情報を取得される脆弱性 JVNDB GoodReader におけるクロスサイトスクリプティングの脆弱性 16 JVNDB Android 版 mixi における情報管理不備の脆弱性 17 JVNDB Internet Explorer に任意のコードが実行される脆弱性 /7/ /7/ /8/ /8/ /9/18-8 -

5 18 JVNDB 複数の F5 製品における SSH でログインされる脆弱性 19 JVNDB ISC BIND におけるサービス運用妨害 ( 表明違反および Daemon Exit) の脆弱性 2 JVNDB PHP の phar 拡張機能における整数オーバーフローの脆弱性 /7/ /7/ /7/1 表 4. 国内の製品開発者から収集した脆弱性対策情報の上位 5 件 [212 年 7 月 ~212 年 9 月 ] 1 JVNDB JVNDB JVNDB 日立の JP1/NETM/DM のパッケージセットアップマネージャにおける権限昇格の脆弱性 日立の JP1/Integrated Management - Service Support におけるクロスサイトスクリプティングの脆弱性 日立の Windows 版 COBOL GUI オプションの開発環境における任意のコードを実行される脆弱性 4 JVNDB JP1/ 秘文の暗号化 / 復号機能および持ち出し制御機能における正しく動作が行われない問題 5 JVNDB 富士通 Interstage List Works における拒否型アクセス権の設定が有効にならない脆弱性 /7/ /8/ /5/ /3/ /3/29 注 1) の深刻度による色分け =.~3.9 深刻度 = レベル I( 注意 ) =4.~6.9 深刻度 = レベル II( 警告 ) =7.~1. 深刻度 = レベル III( 危険 ) 注 2) の年による色分け 21 年以前の公開 211 年の公開 212 年の公開 - 9 -