脆弱性対策情報データベース JVN ipedia に関する活動報告レポート [2013 年第 4 四半期 (10 月 ~12 月 )] 脆弱性対策情報データベース JVN ipedia に関する活動報告レポートについて本レポートでは 2013 年 10 月 1 日から 2013 年 12 月 31

Size: px

Start display at page:

Download "脆弱性対策情報データベース JVN ipedia に関する活動報告レポート [2013 年第 4 四半期 (10 月 ~12 月 )] 脆弱性対策情報データベース JVN ipedia に関する活動報告レポートについて本レポートでは 2013 年 10 月 1 日から 2013 年 12 月 31"

ゆきさりゅうとう
4 years ago
Views:

1 脆弱性対策情報データベース JVN ipedia に関する活動報告レポート [213 年第 4 四半期 (1 月 ~12 月 )] 脆弱性対策情報データベース JVN ipedia に関する活動報告レポートについて本レポートでは 213 年 1 月 1 日から 213 年 12 月 31 日までの間に JVN ipedia で登録をした脆弱性対策情報の統計及び事例について紹介しています独立行政法人情報処理推進機構技術本部セキュリティセンター 214 年 1 月 21 日

2 目次年第 4 四半期脆弱性対策情報データベース JVN ipedia の登録状況脆弱性対策情報の登録状況注目情報 1 Android に関する脆弱性のうち 71% が Android アプリ注目情報 2 産業用制御システムの脆弱性のうちレベルⅢ( 危険 ) は全体の 6 割超 JVN ipedia の登録データ分類脆弱性の種類別脆弱性に関する深刻度別割合脆弱性対策情報を公表した製品の種類別オープンソースソフトウェアの割合登録された製品の開発元 ( ベンダー ) の内訳脆弱性対策情報の活用状況

3 情報の収集元登録累計日本語版計 1,555 件 43,371 件英語版年第 4 四半期脆弱性対策情報データベース JVN ipedia の登録状況脆弱性対策情報データベース JVN ipedia( ) はシステム管理者が幅広いソフトウェア製品に関する脆弱性対策情報を日本語で取得し迅速に脆弱性対策に活かせるよう 1) 国内のソフトウェア開発者が公開した脆弱性対策情報 2) 脆弱性対策情報ポータルサイト JVN (*1) で公表した脆弱性対策情報 3) 米国国立標準技術研究所 NIST (*2) の脆弱性データベース NVD (*3) が公開したソフトウェアの脆弱性対策情報を集約翻訳し 27 年 4 月 25 日から公開しています 1-1. 脆弱性対策情報の登録状況 ~ 脆弱性対策情報の登録が累計 43, 件を超過 ~ 表年第 4 四半期の登録 213 年第 4 四半期 (213 年 1 月 1 日から 12 月 31 日まで ) に JVN ipedia 日本語版へ登録した脆弱性対策情報は右表の通りとなり脆弱性対策情報の登録が累計 43, 件を超過しました ( 表 1-1 国内製品開発者 4 件 153 件 JVN 116 件 2,871 件 NVD 1,435 件 4,347 件図 1-1) JVN ipedia 英語版へ登録した脆弱性対策情報も右表の通りとなっており累計で 987 件になっています国内製品開発者 4 件 153 件 JVN 34 件 834 件計 38 件 987 件 14, 12, 1, 四半 8, 期 6, 件 4, 数 2, 27/4/25 1Q 公開開始 211 国内製品開発者から収集したもの JVN から収集したもの NVD から収集したもの累計 ( 右目盛り ) 1,211 1,849 11,373 12,69 2Q 211 3Q 211 4Q ,894 1Q ,934 2Q 212 3,843 3Q ,99 39,336 4,536 4Q 212 1Q 213 2Q ,816 43,371 3Q 213 4Q 213 5, 45, 4, 35, 3, 累 25, 計 2, 件 15, 数 1, 5, 図 1-1. JVN ipedia の登録の四半期別推移 (*1) Japan Vulnerability Notes 脆弱性対策情報ポータルサイト製品開発者の脆弱性への対応状況を公開しシステムのセキュリティ対策を支援しています IPA JPCERT/CC が共同で運営しています (*2) National Institute of Standards and Technology 米国国立標準技術研究所米国の科学技術分野における計測と標準に関する研究を行う機関 (*3) National Vulnerability Database NIST が運営する脆弱性データベース 1

4 1-2. 注目情報 1 Android に関する脆弱性のうち 71% が Android アプリ近年スマートフォンが急激に普及しており企業や個人によるスマートフォン用アプリの開発も活発になっています中でもここ数年スマートフォン市場における Android のシェアが増加しており結果として JVN ipedia への Android 関連の脆弱性の登録も増加しています図は JVN ipedia に登録をしている Android 関連の脆弱性を OS とアプリの製品区分で分類したものです累計 187 件の内 133 件が Android アプリに関する情報となっており 71% を Android アプリが占めています Android アプリ 133, 71% 54, 29% Android OS 図 Android 関連の脆弱性の製品区分別割合図は JVNiPedia に登録のあった Android アプリの脆弱性 133 件を Google 社の Google Play ( * 4) によるカテゴリ (26 種類 ) から 6 種に分類しそれを脆弱性の深刻度割合 (CVSS (*5) ) 別に集計したものですブラウザやメールなどの通信アプリコミュニケーションを目的としたソーシャルネットワークのアプリが前述の 133 件のうち 79 件登録されており全体の 59% を占めていますこれら通信等のアプリの利用者が脆弱性を含んだバージョンを使い続けるとメッセージ内容通信履歴連絡先などの情報が漏えいする可能性があることを認識する必要があります (*4) Google が Android 端末向けに配布しているアプリの配布販売用のサービス名称アプリは以下に示された種類にカテゴリ分けされている (*5) Common Vulnerability Scoring System 共通脆弱性評価システム脆弱性の基本評価基準の数値を基に I Ⅱ Ⅲの 3 段階とし数値が大きいほど深刻度が高いレベルⅢ: リモートからシステムを完全に制御されるような場合や大部分の情報が漏えいするような脅威レベルⅡ: 一部の情報が漏えいするような場合やサービス停止につながるような脅威レベルⅠ: 攻撃する為の条件が複雑な場合やレベルⅡに該当するが再現性が低い脅威 2

5 レベルIII( 危険 CVSS 基本値 =7.~1.) レベルII ( 警告 CVSS 基本値 =4.~6.9) レベルI ( 注意 CVSS 基本値 =.~3.9) 通信ソーシャル仕事効率化ツールファイナンスその他ネットワーク図 Android アプリのカテゴリ別深刻度割合図は Android アプリに関する脆弱性対策情報を CWE (*6) のタイプ別に分類し登録が多い順に示したものですアプリが管理する重要な情報が読まれたり改ざんされるなど CWE-264( 認可権限アクセス制御 ) が 32 件と圧倒的に多く次いで CWE-2( 情報漏えい ) が 9 件と重要な情報を狙うタイプの脆弱性の登録が多いことがグラフから見てとれます CWE-264 : 認可権限アクセス制御 CWE-2 : 情報漏えい CWE-2 : 不適切な入力確認 CWE-79 : クロスサイトスクリプティング CWE-31 : 暗号の問題 CWE 264 CWE 2 CWE 2 CWE 79 CWE 31 図 Androidアプリに関する脆弱性の種類別 Android に限らず重要な個人情報を保有するスマートフォンなどのデバイスは脆弱性を悪用されないよう PC と同様に迅速な対策の実施が必要ですアプリの利用者は脆弱性が存在する古いバージョンを利用していた場合速やかなアップデートを実施してくださいまたアプリの開発者は脆弱性を作りこまない安全なアプリ開発を積極的に行う必要があります (*6) Common Weakness Enumeration 概要は次を参照ください 3

6 1-3. 注目情報 2 産業用制御システムの脆弱性のうちレベル Ⅲ( 危険 ) は全体の 6 割超 ~ 他の脆弱性と比べて深刻度の高い脆弱性の割合が多いのが特徴 ~ 近年工場の生産設備等で使用される監視モニタ等の産業用制御システム (ICS:Industrial Control Systems) に関するソフトウェアの脆弱性対策情報の登録が多い状況で 213 年も 131 件が登録されました図は JVN ipedia における産業用制御システムに関するソフトウェアの脆弱性対策情報の登録と CVSS の分類による深刻度の割合を示しており今四半期までの登録累計は 437 件になっています 213 年も深刻度の高いレベル III の脆弱性が 131 件の登録のうち 8 件と 6 割超を占めていますレベル III( 危険 CVSS 基本値 =7.~1.) レベル II ( 警告 CVSS 基本値 =4.~6.9) レベル I ( 注意 CVSS 基本値 =.~3.9) 図産業用制御システムに関するソフトウェアの脆弱性の深刻度別図図のグラフは JVN ipedia に登録済みの脆弱性対策情報に関して産業用制御システムに関するソフトウェアと全ての脆弱性対策情報の深刻度の割合をそれぞれ示したものです産業用制御システムに関するソフトウェアの深刻度の割合はレベル III( 危険 CVSS 基本値 =7.~1.) が 61% レベル II( 警告 CVSS 基本値 =4.~6.9) が 37% レベル I( 注意 CVSS 基本値 =.~3.9) が 2% となっておりソフトウェア全体と比較すると深刻度の高い脆弱性対策情報の登録が極めて多いことがわかります深刻度レベルI 2% 深刻度レベル I 7% 61% 深刻度レベル III 37% 深刻度レベルII 44% 深刻度レベル III 深刻度レベル II 49% 図深刻度の割合 ( 産業用制御システム ) 図深刻度の割合 ( 全体 ) 図は産業用制御システムに関するソフトウェアの脆弱性対策情報を CWE のタイプ別に分類したを示したものです任意コードの実行などの重大な脅威につながる CWE-119( バッフ 4

7 ァエラー ) のが 122 件となっており全体の 3 割を占めています CWE-119 : バッファエラー CWE-2 : 不適切な入力確認 CWE-264 : 認可権限アクセス制御 CWE-22 : パストラバーサル CWE-79 : クロスサイトスクリプティング CWE-255 : 証明書パスワード管理 CWE-31 : 暗号の問題 CWE-399 : リソース管理の問題 CWE-287 : 不適切な認証 CWE-189 : SQL インジェクション CWE 119 CWE 2 CWE 264 CWE 22 CWE 79 CWE 255 CWE 31 CWE 399 CWE 287 CWE 189 図産業用制御システムを構成するソフトウェアの脆弱性の種類別 13 産業用制御システムの管理者は脆弱性対策情報を定期的に収集し利用製品に脆弱性が存在する場合開発元や販売元にバージョンアップ等の対策方法の有無を確認し対策が存在する場合は速やかな対応を検討してください直ちに対策することが困難な場合は産業用制御システムが設置されているネットワーク等の利用環境やリスクを評価しリスクの低減策や脅威の緩和策を図るなどの対応を検討してください (*7) (*7) 制御機器の脆弱性に関する注意喚起 5

8 2. JVN ipedia の登録データ分類 2-1. 脆弱性の種類別図 2-1 のグラフは JVN ipedia へ 213 年第 4 四半期に登録した脆弱性対策情報を共通脆弱性タイプ一覧 CWE のタイプ別に分類し集計したを示したものですは多い順に CWE-264( 認可権限アクセス制御 ) が 192 件 CWE-119( バッファエラー ) が 182 件 CWE-2( 不適切な入力確認 ) が 174 件 CWE-79( クロスサイトスクリプティング ) が 169 件となっています製品開発者はソフトウェアの企画設計段階からセキュリティ対策を講じこれら脆弱性の低減に努めることが求められますなお IPA ではセキュアなプログラム開発の一助となるようセキュアプログラミング講座 (*8) 実習形式による脆弱性体験学習ツール AppGoat (*9) などの参考資料を公開しています CWE 264 CWE 119 CWE 2 CWE 264 : 認可権限アクセス制御 CWE 119 : バッファエラー CWE 2 : 不適切な入力確認 CWE 79 : クロスサイトスクリプティング CWE 2 : 情報漏えい CWE 399 : リソース管理の問題 CWE 31 : 暗号の問題 CWE 94 : コードインジェクション CWE 189 : 数値処理の問題 CWE 89 : SQLインジェクション CWE 79 CWE 2 CWE 399 CWE 31 CWE 94 CWE 189 CWE 89 図年第 4 四半期に登録した脆弱性の種類別 2-2. 脆弱性に関する深刻度別割合図 2-2 のグラフは JVN ipedia に登録済みの脆弱性対策情報のを脆弱性の深刻度別に分類し公表年別にその推移を示したものです脆弱性対策情報の公開開始から 213 年 12 月 31 日までに JVN ipedia に登録された脆弱性対策情報の深刻度はレベル III( 危険 CVSS 基本値 =7.~1.) が全体の 44% レベル II( 警告 CVSS 基本値 =4.~6.9) が同 49% レベル I( 注意 CVSS 基本値 =.~3.9) が同 7% となっていますこれら既知の脆弱性の深刻度は全体の 93% がサービス停止につながるような脅威であるレベル II 以上となっています既知の脆弱性による脅威を回避するため製品利用者は製品のバージョンアップやセキュリティ対策パッチの適用などを速やかに行ってください (*8) (*9) 脆弱性体験学習ツール AppGoat 6

9 7, 6, 5, 4, 3, レベルIII( 危険 CVSS 基本値 =7.~1.) レベルII ( 警告 CVSS 基本値 =4.~6.9) レベルI ( 注意 CVSS 基本値 =.~3.9) 3,737 6,463 5,719 5,69 4,699 4,337 5,28 4,834 2, 1, 図 2-2. 脆弱性の深刻度別 2-3. 脆弱性対策情報を公表した製品の種類別図 2-3 のグラフは JVN ipedia に登録済みの脆弱性対策情報をソフトウェア製品の種類別にを集計し年次でその推移を示したものです製品の種類別でみるとアプリケーションに関する脆弱性対策情報が全件のうちの 85% を占めており最も多く公表されていますまた 28 年頃以降重要インフラなどで利用される産業用制御システムに関する脆弱性対策情報が登録されるようになり今四半期までに合計 437 件が登録されています 7, 6, 5, 4, 3, 2, 1, 産業用制御システム組込みソフトウェアアプリケーション OS ,743 6,464 5,724 5,692 5,214 4,715 4,84 4, 図 2-3. 脆弱性対策情報を公表した製品の種類別の公開年別推移 7

10 2-4. オープンソースソフトウェアの割合図 2-4 のグラフは JVN ipedia に登録済みの脆弱性対策情報のうちオープンソースソフトウェア ( 以後 OSS) と OSS 以外のソフトウェアの公表年別推移を示したものです累計では OSS が 17,228 件 OSS 以外が 26,143 件の登録があります 27 年以降 OSS 以外の登録がそれ以前と比べて多くなっているのは NVD に登録された脆弱性対策情報全てを JVN ipedia でも登録対象にしたことが要因です累計についてのそれぞれの割合は OSS が 4% OSS 以外が 6% となっています 7, 6, 5, 4, 3, 2, 1, OSS 以外 OSS( オープンソースソフトウェア ) OSS の割合 ( 右目盛り ) 図 2-4. オープンソースソフトウェア (OSS) と OSS 以外の公開年別推移 1 8 O S 6 S の 4 割合 (%) 登録された製品の開発元 ( ベンダー ) の内訳図図のグラフは脆弱性対策情報の公開開始から 213 年 12 月 31 日までに JVN ipedia に登録された製品の開発元 ( ベンダー ) を分類したものです OSS ベンダーと OSS 以外のベンダーを国内ベンダー海外ベンダー ( 日本法人有り ) 海外ベンダー( 日本法人無し ) でそれぞれ示しています最も割合が多いのは日本法人の無いベンダーの製品です OSS ベンダーでは 96.4% OSS 以外では 91.3% となっており登録の 9 割以上の脆弱性対策情報が日本法人の無い海外ベンダーの製品のものであることがわかります OSS 製品は無償なため手軽に利用可能できる製品といった面がある一方安全に使用するためのサポートがベンダーなどから十分に得られない可能性がありますそのため OSS 製品を利用する場合にはパッチ適用などのセキュリティ対策を利用者自ら実施できる体制を整えておくことが重要です 8

11 国内ベンダー海外ベンダー 87 ( 日本法人有り ) 71 国内ベンダー海外ベンダー 191 ( 日本法人有り ) 217 海外ベンダー ( 日本法人無し ) 海外ベンダー 4245 ( 日本法人無し ) 4298 (96.4%) (91.3%) 合計 4,43 ベンダー合計 4,76 ベンダー図 OSS のベンダーの内訳図 OSS 以外のベンダーの内訳 9

12 3. 脆弱性対策情報の活用状況表 3-1 は 213 年第 4 四半期 (1 月 ~12 月 ) にアクセスの多かった JVN ipedia の脆弱性対策情報の上位 2 件を示したものですアクセスの 1 位は Andriod OS に関する脆弱性についてでしたまた 4 位を初めとする Apache HTTP Server に関する脆弱性 9 位と 11 位にランクインをしている Apache Struts 2 に関する脆弱性などウェブサイトを構成するためのサーバソフトウェアに関する脆弱性へのアクセスが多く集まりました表 3-2 は国内の製品開発者から収集した脆弱性対策情報でアクセスの多かった上位 5 件を示しています上位 5 件すべての深刻度はレベル III( 危険 ) となっており攻撃をされた場合にサービス停止につながる可能性が高い脆弱性が注目されています表 3-1.JVN ipedia の脆弱性対策情報へのアクセス上位 2 件 [213 年 1 月 ~213 年 12 月 ] # ID タイトル 1 JVNDB Android OS において任意の Java のメソッドが実行される脆弱性 2 JVNDB JVNDB JVNDB JVNDB JVNDB JVNDB JVNDB JVNDB 複数の Microsoft 製品のカーネルモードドライバにおける任意のコードを実行される脆弱性一太郎シリーズにおいて任意のコードが実行される脆弱性 Apache HTTP Server の mod_rewrite モジュールにおける任意のコマンドを実行される脆弱性複数の SONY ネットワークカメラ製品におけるクロスサイトリクエストフォージェリの脆弱性 Apache HTTP Server の protocol.c における HTTPOnly Cookie の値を取得される脆弱性 Node.js の HTTP サーバにおけるサービス運用妨害 (DoS) の脆弱性 nginx のデフォルト設定における重要な情報を取得される脆弱性 Apache Struts において任意のコマンドを実行される脆弱性 CVSS 基本値公開日 /12/ /1/ /11/ /6/ /1/ /2/ /1/ /1/ /7/23 1 JVNDB SSL と TLS の CBC モードに選択平文攻撃の脆弱性 /1/4 11 JVNDB Apache Struts における脆弱性 /1/2 12 JVNDB Juniper ScreenOS におけるサービス運用妨害 (DoS) の脆弱性 13 JVNDB 複数製品で使用されている International Components for Unicode (ICU) に解放済みメモリ使用 (use-after-free) の脆弱性 JVNDB Internet Explorer において任意のコードが実行される脆弱性 /12/ /1/ /9/19 1

13 # ID タイトル JVNDB Accela BizSearch におけるクロスサイトスクリプティングの脆弱性 JVNDB HDL-A および HDL2-A シリーズにおけるセッション管理に関する脆弱性 17 JVNDB Apache HTTPD サーバにサービス運用妨害 (DoS) の脆弱性 18 JVNDB 複数の Apple 製品用 Tweetbot におけるユーザに不要なアクションの実行を自動的に強制される脆弱性 19 JVNDB PHP の ext/openssl/openssl.c 内の asn1_time_to_time_t 関数における任意のコードを実行される脆弱性 2 JVNDB TLS プロトコルおよび DTLS プロトコルにおける識別攻撃およびプレーンテキストリカバリ攻撃を誘発される脆弱性 CVSS 基本値公開日 /1/ /1/ /9/ /11/ /12/ /2/13 表 3-2. 国内の製品開発者から収集した脆弱性対策情報へのアクセス上位 5 件 [213 年 1 月 ~213 年 12 月 ] # ID タイトル CVSS 基本値公開日 1 JVNDB JP1/Base における任意のコマンドを実行される脆弱性 /1/3 2 JVNDB JVNDB JVNDB JVNDB Interstage HTTP Server のログ機能におけるバッファオーバーフローの脆弱性 JP1/Automatic Job Management System 3 および JP1/Automatic Job Management System 2 における任意のコマンドを実行される脆弱性 JP1/Cm2/Network Node Manager i に同梱されている Java における複数の脆弱性 JP1/Cm2/Network Node Manager i における複数の脆弱性 /11/ /1/ /9/ /9/26 注 1)CVSS 基本値の深刻度による色分け CVSS 基本値 =.~3.9 深刻度 = レベル I( 注意 ) CVSS 基本値 =4.~6.9 深刻度 = レベル II( 警告 ) CVSS 基本値 =7.~1. 深刻度 = レベル III( 危険 ) 注 2) 公開日の年による色分け 211 年以前の公開 212 年の公開 213 年の公開 11

2011 年第 3 四半期脆弱性対策情報データベース JVN ipedia の登録状況 ( 詳細 ) 1. 脆弱性対策情報の登録状況 1.1 今四半期に登録した脆弱性の種類別件数す別紙 2 共通脆弱性タイプ一覧 CWE ( *12) は脆弱性の種類を識別するための共通の脆弱性タイプの一覧で C

2011 年第 3 四半期脆弱性対策情報データベース JVN ipedia の登録状況 ( 詳細 ) 1. 脆弱性対策情報の登録状況 1.1 今四半期に登録した脆弱性の種類別件数す別紙 2 共通脆弱性タイプ一覧 CWE ( *12) は脆弱性の種類を識別するための共通の脆弱性タイプの一覧で C 211 年第 3 四半期脆弱性対策情報データベース JVN ipedia の登録状況 ( 詳細 ) 1. 脆弱性対策情報の登録状況 1.1 今四半期に登録した脆弱性の種類別す別紙 2 共通脆弱性タイプ一覧 CWE ( *12) は脆弱性の種類を識別するための共通の脆弱性タイプの一覧で CWE を用いるとソフトウェアの多種多様にわたる脆弱性に関して脆弱性の種類 ( 脆弱性タイプ ) の識別や分析が可能になります