脆弱性対策情報データベース JVN ipedia に関する活動報告レポート [2013 年第 2 四半期 (4 月 ~6 月 )] 脆弱性対策情報データベース JVN ipedia に関する活動報告レポートについて本レポートでは 2013 年 4 月 1 日から2013 年 6 月 30 日までの

脆弱性対策情報データベース JVN ipedia に関する活動報告レポート [213 年第 2 四半期 (4 月 ~6 月 )] 脆弱性対策情報データベース JVN ipedia に関する活動報告レポートについて本レポートでは 213 年 4 月 1 日から213 年 6 月 3 日までの間に JVN ipedia で登録をした脆弱性対策情報の統計及び事例について紹介しています独立行政法人情報処理推進機構技術本部セキュリティセンター 213 年 7 月 19 日

目次 1. 213 年第 2 四半期脆弱性対策情報データベース JVN ipedia の登録状況... - 1-1-1. 脆弱性対策情報の登録状況... - 1-1-2. 注目情報 1 ウェブサイトの改ざんに悪用されているソフトウェアについて... - 2-1-3. 注目情報 2 サポートが終了するソフトウェアの脆弱性対策について... - 3-2. JVN ipedia の登録データ分類... - 4-2-1. 脆弱性の種類別... - 4-2-2. 脆弱性に関する深刻度別割合... - 4-2-3. 脆弱性対策情報を公表した製品の種類別... - 5-2-4. オープンソースソフトウェアの割合... - 6-2-5. 登録された製品の開発元 ( ベンダー ) の内訳... - 6-3. 脆弱性対策情報の活用状況... - 7 -

1. 213 年第 2 四半期脆弱性対策情報データベース JVN ipedia の登録状況脆弱性対策情報データベース JVN ipedia( http://jvndb.jvn.jp/ ) は国内外で使用されているソフトウェアの脆弱性対策情報を収集公開することにより脆弱性関連情報を容易に利用可能とすることを目指しています 1) 国内のソフトウェア開発者が公開した脆弱性対策情報 2) 脆弱性対策情報ポータルサイト JVN (*1) で公表した脆弱性対策情報 3) 米国国立標準技術研究所 NIST (*2) の脆弱性データベース NVD (*3) が公開した脆弱性対策情報の中から情報を収集翻訳し 27 年 4 月 25 日から公開しています 1-1. 脆弱性対策情報の登録状況 ~ 脆弱性対策情報の登録が累計 4, 件を超過 ~ 情報の収集元登録累計日本語版計 1,2 件 4,536 件英語版表 1-1. 213 年第 2 四半期の登録 213 年第 2 四半期 (213 年 4 月 1 日から 6 月 3 国内製品開発者 5 件 147 件日まで ) に JVN ipedia 日本語版へ登録した脆弱性対 JVN 128 件 2,625 件策情報は国内製品開発者から収集したもの 5 件 ( 公 NVD 1,67 件 37,764 件開開始からの累計は 147 件 ) JVN から収集したもの 128 件 ( 累計 2,625 件 ) NVD から収集したもの 1,67 国内製品開発者 5 件 147 件件 ( 累計 37,764 件 ) 合計 1,2 件 ( 累計 4,536 件 ) JVN 37 件 774 件となりました脆弱性対策情報の登録が累計計 42 件 921 件 4, 件を超過しました ( 表 1-1 図 1-1) JVN ipedia 英語版は国内製品開発者から収集したものが 5 件 ( 累計 147 件 ) JVN から収集したものが 37 件 ( 累計 774 件 ) 合計 42 件 ( 累計 921 件 ) でした 14, 12, 四 1, 半 8, 期件 6, 数 4, 2, 27/4/25 公開開始 9,27 9,627 1,211 1,849 11,373 12,69 3Q 21 国内製品開発者から収集したもの JVNから収集したもの NVD から収集したもの累計 ( 右目盛り ) 4Q 21 1Q 211 2Q 211 3Q 211 4Q 211 15,894 1Q 212 22,934 2Q 212 3,843 3Q 212 38,99 4Q 212 39,336 4,536 1Q 213 2Q 213 45, 4, 35, 3, 25, 2, 15, 1, 5, 累計図 1-1. JVN ipediaの登録の四半期別推移 IPA ではシステム管理者が幅広いソフトウェア製品に関する脆弱性対策情報を日本語で取得し脆弱性対策に活用できるよう 27 年以降に NVD に登録された脆弱性対策情報の全件を日本語に翻訳し JVN ipedia に登録しています (*1) Japan Vulnerability Notes 脆弱性対策情報ポータルサイト製品開発者の脆弱性への対応状況を公開しシステムのセキュリティ対策を支援しています IPA JPCERT/CC が共同で運営しています http://jvn.jp/ (*2) National Institute of Standards and Technology 米国国立標準技術研究所米国の科学技術分野における計測と標準に関する研究を行う機関 http://www.nist.gov/ (*3) National Vulnerability Database NIST が運営する脆弱性データベース http://nvd.nist.gov/home.cfm 1

1-2. 注目情報 1 ウェブサイトの改ざんに悪用されているソフトウェアについて ~CMS(Contents Management System) の脆弱性が原因でウェブサイトが改ざんされるケースも ~ 企業や公共機関が運営しているウェブサイトが改ざんされる被害が継続的に発生しています IPA では 213 年 6 月の呼びかけ (*4) においてウェブサイトが改ざんされないように対策を! というテーマで利用者に注意を促しています図 1-2-1 は 213 年 6 月の呼びかけで脆弱性を悪用されたソフトウェアの事例として記載されたソフトウェアの脆弱性対策情報の登録状況です Joomla! WordPress といった CMS(Contents Management System (*5) ) をはじめとして Apache Struts Parallels Plesk Panel また Parallels Plesk Panel に付随してインストールされることの多い MySQL BIND phpmyadmin といったソフトウェアの脆弱性は 27 年以降毎年 2 件前後が公開されていますまた 213 年は 6 月末時点で 11 件となっています 3 25 2 15 1 5 phpmyadmin BIND MySQL Parallels Plesk Panel Apache Struts WordPress Joomla! 98 43 191 222 211 ~25 26 27 28 29 21 211 212 213 図 1-2-1. 脆弱性を悪用されたソフトウェアの脆弱性対策情報の登録の年別推移 272 192 225 11 (~213/6/3) JVN ipedia では共通脆弱性評価システム CVSS (*6) によりそれぞれの脆弱性の深刻度 (*7) を公開しています図 1-2-2 は前述の図 1-2-1 のソフトウェアについて深刻度割合を集計したものですこれらの脆弱性の深刻度別の割合はレベル III( 危険 CVSS 基本値 =7.~1.) が 43% レベル II ( 警告 CVSS 基本値 =4.~6.9) が 52% レベル I( 注意 CVSS 基本値 =.~3.9) が 5% となっていますレベル II 警告以上の深刻度の割合が 9 割を超過する状況は前四半期同様です特に Joomla! については 724 件の内 462 件 (64%) がレベル III となっており他のソフトウェアと比べて深刻度の高い脆弱性が多く登録されています (*4) 毎月の呼びかけ IPA が毎月公開をしているセキュリティ関連の情報のこと 213 年 6 月はウェブサイトが改ざんされないように対策を! を公開 http://www.ipa.go.jp/security/txt/213/6outline.html (*5) Contents Management System ウェブサイトを簡易に構築管理するためのソフトウェアの総称 (*6) Common Vulnerability Scoring System 共通脆弱性評価システム http://www.ipa.go.jp/security/vuln/cvss.html 脆弱性の基本評価基準の数値を基に I,Ⅱ,Ⅲの 3 段階とし数値が大きいほど深刻度が高いレベルⅢ: リモートからシステムを完全に制御されるような場合や大部分の情報が漏えいするような脅威レベルⅡ: 一部の情報が漏えいするような場合やサービス停止につながるような脅威レベルⅠ: 攻撃する為の条件が複雑な場合やレベルⅡに該当するが再現性が低い脅威 (*7) 脆弱性の深刻度評価の新バージョン CVSS v2 について http://www.ipa.go.jp/security/vuln/severitylevel2.html 2

phpmyadmin BIND MySQL 74 88 253 レベル I ( 注意 CVSS 基本値 =.~3.9) レベル II ( 警告 CVSS 基本値 =4.~6.9) レベル III( 危険 CVSS 基本値 =7.~1.) Parallels Plesk Panel 41 Apache Struts 24 WordPress 351 Joomla! 724 1 2 3 4 5 6 7 8 図 1-2-2. 脆弱性を悪用されたソフトウェアの脆弱性対策情報の深刻度割合 ( ) (~213/6/3) JVN ipedia にはウェブ改ざんに悪用された CMS をはじめとして実際に悪用されたソフトウェアの深刻度の高い脆弱性が多数登録されています製品利用者は情報を日々収集し製品のバージョンアップなどを速やかに行ってください 1-3. 注目情報 2 サポートが終了するソフトウェアの脆弱性対策について ~Microsoft Windows XP のサポートが 214 年 4 月 9 日で終了予定 ~ 214 年 4 月 9 日でベンダーによるサポートが終了する Microsoft Windows XP は民間企業の調査資料 (* 8) によると 213 年 3 月末時点でインターネットにアクセスする際の PC の約 3 割が Microsoft Windows XP であるとされています図 1-3 は JVN ipedia に登録されている Microsoft Windows XP のソフトウェアの脆弱性対策情報を深刻度別に集計したものですその割合はレベル III( 危険 CVSS 基本値 =7.~1.) が 71% レベル II( 警告 CVSS 基本値 =4.~6.9) が 26% レベル I( 注意 CVSS 基本値 =.~3.9) が 3% となっています既知の脆弱性の 97% がレベル II 以上であり攻撃に用いられた場合には重要なサービスを停止させられるといった問題が発生する可能性が高くなります 18 16 14 12 1 8 6 4 2 4 レベル III( 危険 CVSS 基本値 =7.~1.) レベル II ( 警告 CVSS 基本値 =4.~6.9) レベル I ( 注意 CVSS 基本値 =.~3.9) 33 28 62 63 9 84 81 111 155 149 86 87 21 22 23 24 25 26 27 28 29 21 211 212 213 図 1-3. Microsoft Windows XP 脆弱性対策情報の年別の深刻度割合 (~213/6/3) ベンダーがサポートを終了したソフトウェアについては脆弱性対策のパッチが提供されない可能性が高いため可能なかぎり早期に無償のものを含めサポート対応が可能な製品への切り替えを検討してください (*8) 株式会社ジャストシステムモバイル & ソーシャルメディア月次定点調査 https://www.fast-ask.com/report/report-monthly-21341.html 3

2. JVN ipedia の登録データ分類 2-1. 脆弱性の種類別図 2-1 のグラフは JVN ipedia へ 213 年第 2 四半期に登録した脆弱性対策情報を共通脆弱性タイプ一覧 CWE (*9) のタイプ別をもとに分類したを示したものですは多い順に CWE-119( バッファエラー ) が 194 件 CWE-79( クロスサイトスクリプティング ) が 13 件 CWE-264( 認可権限アクセス制御の問題 ) が 114 件 CWE-2( 不適切な入力確認 ) が 96 件 CWE-399( リソース管理の問題 ) が 82 件 CWE-2( 情報漏えい ) が 55 件などとなっていますこれらは広く認知されているタイプの脆弱性です製品開発者はソフトウェアの企画設計段階からセキュリティ対策を講じこれら脆弱性の低減に努める必要がありますなお IPA ではセキュアなプログラム開発の一助となるよう参考資料としてセキュアプログラミング講座 (*1) 実習形式による脆弱性体験学習ツール AppGoat (*11) を公開しています 25 2 15 1 5 194 13 114 96 82 CWE 119 : バッファエラー CWE 79 : クロスサイトスクリプティング CWE 264 : 認可権限アクセス制御の問題 CWE 2 : 不適切な入力確認 CWE 399 : リソース管理の問題 CWE 2 : 情報漏えい CWE 189 : 数値処理の問題 CWE 89 :SQL インジェクション CWE 287 : 不適切な認証 CWE 352 : クロスサイトリクエストフォージェリ 55 41 29 27 23 CWE 119 CWE 79 CWE 264 CWE 2 CWE 399 CWE 2 CWE 189 CWE 89 CWE 287 CWE 352 図 2-1. 213 年第 2 四半期に登録した脆弱性の種類別 2-2. 脆弱性に関する深刻度別割合図 2-2 のグラフは JVN ipedia に登録済みの脆弱性対策情報のを脆弱性の深刻度別に分類し公表年別にその推移を示したものです脆弱性対策情報の公開開始から 213 年 6 月 3 日までに JVN ipedia に登録された脆弱性対策情報の深刻度別割合はレベル III( 危険 CVSS 基本値 =7.~1.) が 45% レベル II( 警告 CVSS 基本値 =4.~6.9) が 49% レベル I( 注意 CVSS 基本値 =.~3.9) が 6% となっていますこれら既知の脆弱性の深刻度は全体の 94% がレベルⅡ 以上となっています既知の脆弱性による脅威を回避するため製品利用者は製品のバージョンアップやセキュリティ対策パッチの適用などを速やかに行ってください (*9) Common Weakness Enumeration 共通脆弱性タイプ一覧 http://www.ipa.go.jp/security/vuln/cwe.html (*1) http://www.ipa.go.jp/security/awareness/vendor/programmingv2/index.html (*11) 脆弱性体験学習ツール AppGoat http://www.ipa.go.jp/security/vuln/appgoat/index.html 4

7, 6,5 6, 5,5 5, 4,5 4, 3,5 3, 2,5 2, 1,5 1, 5 レベル III( 危険 CVSS 基本値 =7.~1.) レベル II ( 警告 CVSS 基本値 =4.~6.9) レベル I ( 注意 CVSS 基本値 =.~3.9) 13 55 131 193 35 393 69 858 3,637 6,463 5,718 5,689 4,694 4,326 5,117 2,29 1998 1999 2 21 22 23 24 25 26 27 28 29 21 211 212 213 (~213/6/3) 図 2-2. 脆弱性に関する年別の深刻度別割合 2-3. 脆弱性対策情報を公表した製品の種類別図 2-3 のグラフは JVN ipedia に登録済みの脆弱性対策情報についてそのソフトウェア製品の種類別に公表年別のを示したものです製品の種類別でみるとアプリケーションに関する脆弱性対策情報が全件のうちの 87% を占めており最も多く公表されていますまた 28 年頃以降重要インフラなどで利用される産業用制御システムに関する脆弱性対策情報が登録されるようになり今四半期までの累計は 388 件 213 年は 6 月 3 日時点で 83 件が公表されています製品利用者はバージョンアップやセキュリティ対策パッチの適用などを速やかに行うことが重要です 7, 6, 5, 4, 3, 産業用制御システム組込みソフトウェアアプリケーション OS 6,464 5,7235,691 5,123 4,71 4,353 3,643 2,213 2, 1, 13 55 131 193 353 396 861 614 1998 1999 2 21 22 23 24 25 26 27 28 29 21 211 212 213 (~213/6/3) 図 2-3. 脆弱性対策情報を公表した製品の種類別の公開年別推移 5

2-4. オープンソースソフトウェアの割合図 2-4 のグラフは JVN ipedia に登録済みの脆弱性対策情報についてオープンソースソフトウェア (OSS) と OSS 以外のソフトウェアの公表年別推移を示したものです累計で 16,284 件の OSS の登録があります 27 年以降の登録が 26 年以前と比べて多くなっているのは 27 年以降に NVD に登録された脆弱性対策情報の全てを JVN ipedia の登録対象としたことが一因です全体から見た割合は OSS が 4% OSS 以外が 6% となっています 7, 1 6, 5, 4, 3, 2, 1, OSS 以外 8 OSS( オープンソースソフトウェア ) 3754 3376 OSSの割合 ( 右目盛り ) 3416 6 328 2785 2661 4 2175 271 1539 2347 2 2275 1925 1468 1692 295 11 44 91 14 242 244 33 416 674 2 11 4 53 111 152 284 445 1998 1999 2 21 22 23 24 25 26 27 28 29 21 211 212 213 (~213/6/3) 図 2-4. オープンソースソフトウェア (OSS) と OSS 以外の公開年別推移 O S S の割合 (%) 2-5. 登録された製品の開発元 ( ベンダー ) の内訳図 2-5-1 図 2-5-2 のグラフは脆弱性対策情報の公開開始から 213 年 6 月 3 日までに JVN ipedia に登録された製品の開発元 ( ベンダー ) を分類したものです OSS ベンダーと OSS 以外のベンダーを国内ベンダー海外ベンダー ( 日本法人有り ) 海外ベンダー( 日本法人無し ) でそれぞれ示しています最も割合が多いのは日本法人の無いベンダーの製品です OSS ベンダーは 96.4% OSS 以外は 91.3% となっており日本法人の無い海外ベンダーの製品の脆弱性対策情報が数多く登録されていることがわかります OSS 製品の利用は手軽である反面安全に使用するためのサポートがベンダーなどから十分に得られない可能性がありますセキュリティパッチの適用などのノウハウを持たない利用者は特に OSS 製品の利用を慎重に検討する必要があります国内ベンダー海外ベンダー 87 ( 日本法人有り ) 68 国内ベンダー海外ベンダー 184 ( 日本法人有り ) 21 海外ベンダー ( 日本法人無し ) 413 海外ベンダー ( 日本法人無し ) 4173 合計 4,285 ベンダー合計 4,567 ベンダー図 2-5-1. OSS のベンダーの内訳図 2-5-2. OSS 以外のベンダーの内訳 6

3. 脆弱性対策情報の活用状況表 3-1 は 213 年第 2 四半期 (4 月 ~6 月 ) にアクセスの多かった JVN ipedia の脆弱性対策情報の上位 2 件を示したものです表 3-2 は国内の製品開発者から収集した脆弱性対策情報のアクセス数上位 5 件を示しています表 3-1.JVN ipedia の脆弱性対策情報のアクセス数上位 2 件 [213 年 4 月 ~213 年 6 月 ] # ID タイトル 1 2 3 4 5 6 7 8 9 1 JVNDB-27-3445 Thomas R. Pasawicz HyperBook Guestbook におけるパスワードハッシュをダウンロードされる脆弱性 JVNDB-213-16 Kingsoft Writer におけるバッファオーバーフローの脆弱性 CVSS 基本値公開日 5. 212/9/25 6.8 213/3/1 JVNDB-213-53 Internet Explorer における情報漏えいの脆弱性 2.6 213/6/7 JVNDB-212-12 Apache Struts 2 における任意の Java メソッド実行の脆弱性 JVNDB-213-58 一太郎シリーズにおいて任意のコードが実行される脆弱性 JVNDB-212-1258 Apache HTTP Server の protocol.c における HTTPOnly Cookie の値を取得される脆弱性 6.8 212/2/1 9.3 213/6/18 4.3 212/2/1 JVNDB-213-31 Active! mail における情報漏えいの脆弱性 2.1 213/4/4 JVNDB-213-2656 Linux Kernel の kernel/events/core.c における権限を取得される脆弱性 JVNDB-213-34 複数のサイボウズ製品におけるクロスサイトリクエストフォージェリの脆弱性 JVNDB-213-25 Android 版 OpenWnn におけるアクセス制限不備の脆弱性 7.2 213/5/15 2.6 213/4/15 2.6 213/3/29 11 JVNDB-213-37 Yahoo! ブラウザーにおけるアドレスバー偽装の脆弱性 4.3 213/4/26 12 13 14 JVNDB-213-1695 Apache HTTP Server におけるクロスサイトスクリプティングの脆弱性 JVNDB-213-295 HP System Management Homepage に OS コマンドインジェクションの脆弱性 JVNDB-213-1912 Perl のハッシュ値の再計算メカニズムにおけるサービス運用妨害 (DoS) の脆弱性 4.3 213/2/27 9. 213/6/13 7.5 213/3/21 15 JVNDB-213-43 EC-CUBE におけるアクセス制限不備の脆弱性 6.4 213/5/23 16 JVNDB-213-2545 Internet Explorer 8 に任意のコードが実行される脆弱性 9.3 213/5/7 17 18 JVNDB-29-13 PEAK XOOPS 製 pical におけるクロスサイトスクリプティングの脆弱性 JVNDB-213-33 Sleipnir Mobile for Android において任意のエクステンション API が呼び出される脆弱性 4.3 29/2/25 4. 213/4/12 19 JVNDB-213-32 Sleipnir for Windows におけるアドレスバー偽装の脆弱性 4.3 213/4/11 7

# ID タイトル CVSS 基本値公開日 2 JVNDB-213-29 Simeji におけるアクセス制限不備の脆弱性 2.6 213/3/26 表 3-2. 国内の製品開発者から収集した脆弱性対策情報のアクセス数上位 5 件 [213 年 4 月 ~213 年 6 月 ] # ID タイトル JVNDB-213-165 Hitachi Tuning Manager および JP1/Performance Management における複数の脆弱性 1 JVNDB-213-1321 日立 Cosminexus の運用管理機能におけるユーザ認証の 2 脆弱性 JVNDB-213-147 Accela BizSearch におけるユーザになりすまされる脆弱 3 性 JVNDB-212-5827 複数の日立製品に含まれる Collaboration - Bulletin board 4 におけるクロスサイトスクリプティングの脆弱性 JVNDB-28-1313 JP1/Cm2/Network Node Manager におけるサービス運用 5 妨害 (DoS) の脆弱性 CVSS 基本値公開日 9. 213/2/2 6.8 213/1/31 6.8 213/2/13 4.3 212/12/28 5. 28/5/9 注 1)CVSS 基本値の深刻度による色分け CVSS 基本値 =.~3.9 深刻度 = レベル I( 注意 ) CVSS 基本値 =4.~6.9 深刻度 = レベル II( 警告 ) CVSS 基本値 =7.~1. 深刻度 = レベル III( 危険 ) 注 2) 公開日の年による色分け 211 年以前の公開 212 年の公開 213 年の公開 8