2011 年第 3 四半期脆弱性対策情報データベース JVN ipedia の登録状況 ( 詳細 ) 1. 脆弱性対策情報の登録状況 1.1 今四半期に登録した脆弱性の種類別件数す別紙 2 共通脆弱性タイプ一覧 CWE ( *12) は脆弱性の種類を識別するための共通の脆弱性タイプの一覧で C

Size: px

Start display at page:

Download "2011 年第 3 四半期脆弱性対策情報データベース JVN ipedia の登録状況 ( 詳細 ) 1. 脆弱性対策情報の登録状況 1.1 今四半期に登録した脆弱性の種類別件数す別紙 2 共通脆弱性タイプ一覧 CWE ( *12) は脆弱性の種類を識別するための共通の脆弱性タイプの一覧で C"

ゆりかやなぎしま
4 years ago
Views:

1 211 年第 3 四半期脆弱性対策情報データベース JVN ipedia の登録状況 ( 詳細 ) 1. 脆弱性対策情報の登録状況 1.1 今四半期に登録した脆弱性の種類別す別紙 2 共通脆弱性タイプ一覧 CWE ( *12) は脆弱性の種類を識別するための共通の脆弱性タイプの一覧で CWE を用いるとソフトウェアの多種多様にわたる脆弱性に関して脆弱性の種類 ( 脆弱性タイプ ) の識別や分析が可能になります図 5 のグラフは JVN ipedia へ今四半期に登録した脆弱性対策情報を CWE のタイプ別に分類したを示したものですが多い脆弱性は CWE-119( バッファエラー ) が 115 件 CWE-399( リソース管理の問題 ) が 53 件 CWE-2( 不適切な入力確認 ) が 46 件 CWE-79( クロスサイトスクリプティング ) が 42 件 CWE-264( 認可権限アクセス制御の問題 ) が 32 件 CWE-189( 数値処理の問題 ) が 23 件 CWE-2( 情報漏えい ) が 2 件などとなっていますこれらは広く認知されている脆弱性の種類です製品開発者はこれらの脆弱性に関して IPA が公開しているセキュアプログラミング講座 (*13) などを参考にソフトウェアの企画設計段階からセキュリティ実装を考慮する必要がありますなお実習形式による脆弱性体験学習ツール AppGoat ( *14) でも効果的な学習が可能です CWE-119: バッファエラー CWE-399: リソース管理の問題 CWE-2 : 不適切な入力確認 CWE-79 : クロスサイトスクリプティング CWE-264: 認可権限アクセス制御の問題 CWE-189: 数値処理の問題 CWE-2: 情報漏えい CWE-89 :SQL インジェクション CWE-22 : パストラバーサル CWE-31: 暗号の問題 CWE-119 CWE-399 CWE-2 CWE-79 CWE-264 CWE-189 CWE-2 CWE-89 CWE-22 CWE-31 図年第 3 四半期に登録した脆弱性の種類別 1.2 脆弱性に関する年別の深刻度別割合図 6 のグラフは JVN ipedia に登録済みの脆弱性対策情報について脆弱性の深刻度別のの公表年別推移を示したものです 28 年以降はレベル III( 危険 =7.~1.) の割合が増加傾向にあり 21 年は 5% を超える割合になっています 211 年 9 月 3 日までに JVN ipedia に登録済みの脆弱性対策情報の深刻度別割合はレベル III( 危険 =7.~1.) が 47% レベル II( 警告 =4.~6.9) が 45% レベル I ( 注意 =.~3.9) が 8% となっています (*12 ) Common Weakness Enumeration 概要は次を参照ください (*13 ) (*14 ) 脆弱性体験学習ツール AppGoat

2 深刻度の高い脆弱性が多数登録されていることから製品利用者は情報を日々収集し製品のバージョンアップやセキュリティ対策パッチの適用などを速やかに行うことが必要です 2,2 2, 1,8 1,6 1,4 1,2 1, レベル III( 危険 =7.~1.) レベル II ( 警告 =4.~6.9) レベル I ( 注意 =.~3.9) ,179 1,592 1,767 1,916 1, 図 6. 脆弱性に関する年別の深刻度別割合 (~211/9/3) 1.3 脆弱性対策情報を公表した製品の種類別図 7 のグラフは JVN ipedia に登録済みの脆弱性対策情報についてその製品の種類別の公表年別推移を示したものですアプリケーションの脆弱性対策情報の登録が年々増加しており 23 年の 145 件に対し 21 年には 1,629 件と 1 倍以上のに増加しています 28 年頃からは重要インフラなどで利用される産業制御システム (SCADA:Supervisory Control And Data Acquisition) についても脆弱性対策情報が登録されています 28 年分として 8 件 29 年分は 1 件 21 年分は 14 件 211 年分は 36 件合計 68 件の SCADA に関する脆弱性対策情報を登録しています毎年数多くのアプリケーションが新しく開発されそれらにおいて脆弱性が発見されておりアプリケーションのセキュリティ対策は重要度を増しています製品利用者は脆弱性対策情報を日々収集しバージョンアップやセキュリティ対策パッチの適用などを速やかに行うことが必要です 2,2 2, 1,8 1,6 1,4 1,2 1, SCADA 組込みソフトウェアアプリケーション OS ,18 1,933 1,594 1,768 1, (~211/9/3) 図 7. 脆弱性対策情報を公表した製品の種類別の公開年別推移 - 6 -

3 1.4 オープンソースソフトウェアの割合図 8 のグラフは JVN ipedia に登録済みの脆弱性対策情報についてオープンソースソフトウェア (OSS) と OSS 以外のソフトウェアの公表年別推移を示したものです OSS の割合の年別推移を見ると近年では 28 年以降の OSS の割合が減少傾向となっており 211 年では 26% の割合になっています全体から見た割合は OSS が 32% OSS 以外が 68% となっています 2,2 2, 1,8 1,6 1,4 1,2 1, OSS 以外 OSS( オープンソースソフトウェア ) OSS の割合 ( 右目盛り ) (~211/9/3) 図 8. オープンソースソフトウェア (OSS) と OSS 以外の公開年別推移 (%) 1.5 製品開発者 ( ベンダー ) の内訳図 9 図 1 のグラフは JVN ipedia に登録済みの製品開発者 ( ベンダー ) に関して OSS のベンダーの内訳と OSS 以外のベンダーの内訳をそれぞれ示したものです OSS ベンダーの内訳は国内ベンダーが 67 ( 日本法人有り ) が 27 ( 日本法人無し ) が 256 合計 35 ベンダーとなっています OSS 以外は国内ベンダーが 124 ( 日本法人有り ) が 84 ( 日本法人無し ) が 87 合計 295 ベンダーとなっています OSS に関しては日本法人の無いの脆弱性対策情報が数多く登録されています OSS を利用する場合製品のバージョンアップやセキュリティパッチの適用などのノウハウを持たない製品利用者は製品のサポートサービスの活用保守契約上の取り決め等の考慮が必要です ( 日本法人無し ) 国内ベンダー 27 図 9.OSS のベンダーの内訳 ( 日本法人有り ) 合計 35 ベンダー ( 日本法人無し ) 87 ( 日本法人有り ) 84 国内ベンダー 124 合計 295 ベンダー図 1.OSS 以外のベンダーの内訳 - 7 -

4 2. 脆弱性対策情報の活用状況 JVN ipedia のは 21 年 1 月 ~211 年 9 月の 1 年間で 2,96 万件となっており月平均で約 17 万件以上のアクセスがあります表 3 は 211 年第 3 四半期 (7 月 ~9 月 ) にアクセスの多かった JVN ipedia の脆弱性対策情報をの多い順に上位 2 件まで示しています 2 件中 15 件が JVN から公表された脆弱性対策情報です表 4 は国内の製品開発者から収集した脆弱性対策情報の上位 5 件を示しています表 3.JVN ipedia の脆弱性対策情報の上位 2 件 [211 年 7 月 ~211 年 9 月 ] 1 JVNDB Apache HTTPD サーバにサービス運用妨害 (DoS) の脆弱性 2 JVNDB Android における SSL 証明書の表示に関する脆弱性 3 JVNDB JVNDB JVNDB JVNDB JVNDB JVNDB Windows の URL プロトコルハンドラにおける実行ファイル読み込みに関する脆弱性 Internet Explorer におけるクロスサイトスクリプティングの脆弱性 ASP.NET におけるクロスサイトスクリプティングの脆弱性 ALZip におけるバッファオーバーフローの脆弱性 Apache Tomcat における重要な情報を取得される脆弱性 Mozilla Firefox におけるクロスサイトスクリプティングの脆弱性 9 JVNDB Windows XP におけるサービス運用妨害 (DoS) の脆弱性 1 JVNDB Google 検索アプライアンスにおけるクロスサイトスクリプティングの脆弱性 JVNDB Internet Explorer におけるウィンドウ偽装の脆弱性 JVNDB XnView における実行ファイル読み込みに関する脆弱性 /9/ /7/ /8/ /7/ /7/ /6/ /7/ /7/ /8/ /7/ /8/ /7/5 13 JVNDB SSL および TLS プロトコルに脆弱性 /12/ JVNDB Plone におけるクロスサイトスクリプティングの脆弱性 JVNDB Apache Tomcat におけるアクセス制限を回避される脆弱性 /7/ /7/26-8 -

5 16 JVNDB Aipo における SQL インジェクションの脆弱性 /8/16 17 JVNDB Opera におけるサービス運用妨害 (DoS) の脆弱性 18 JVNDB Java Web Start における DLL 読み込みに関する脆弱性 19 JVNDB 一太郎シリーズにおける任意のコードが実行される脆弱性 2 JVNDB Apache HTTP Server の 413 エラーメッセージにおける HTTP メソッドを適切に検査しない問題 /7/ /6/ /6/ /12/2 表 4. 国内の製品開発者から収集した脆弱性対策情報の上位 5 件 [211 年 7 月 ~211 年 9 月 ] JP1/Performance Management - Web Console 1 JVNDB におけるクロスサイトスクリプティングの脆弱性 HiRDB Control Manager - Agent における任意の 2 JVNDB コマンドを実行される脆弱性 Accela BizSearch の標準検索画面におけるクロ 3 JVNDB スサイトスクリプティングの脆弱性 Accela BizSearch の標準検索画面におけるクロ 4 JVNDB スサイトスクリプティングの脆弱性 Hitachi Web Server の RequestHeader ディレ 5 JVNDB クティブによるヘッダカスタマイズにおける破棄したメモリ内のデータが参照される脆弱性 /7/ /7/ /5/ /5/ /5/26 注 1) の深刻度による色分け =.~3.9 深刻度 = レベル I( 注意 ) =4.~6.9 深刻度 = レベル II( 警告 ) =7.~1. 深刻度 = レベル III( 危険 ) 注 2) の年による色分け 29 年以前の公開 21 年の公開 211 年の公開 - 9 -

別紙年第 3 四半期脆弱性対策情報データベース JVN ipedia の登録状況 ( 詳細 ) 1. 脆弱性対策情報の登録状況年第 3 四半期に登録した脆弱性の種類別件数図 8 のグラフは JVN ipedia へ 2012 年第 3 四半期に登録した脆弱性対策情

別紙年第 3 四半期脆弱性対策情報データベース JVN ipedia の登録状況 ( 詳細 ) 1. 脆弱性対策情報の登録状況年第 3 四半期に登録した脆弱性の種類別件数図 8 のグラフは JVN ipedia へ 2012 年第 3 四半期に登録した脆弱性対策情別紙 2 212 年第 3 四半期脆弱性対策情報データベース JVN ipedia の登録状況 ( 詳細 ) 1. 脆弱性対策情報の登録状況 1.1 212 年第 3 四半期に登録した脆弱性の種類別図 8 のグラフは JVN ipedia へ 212 年第 3 四半期に登録した脆弱性対策情報を CWE のタイプ別に分類したを示したものですが多い脆弱性は CWE-79( クロスサイトスクリプティング