脆弱性対策情報データベース JVN ipedia に関する活動報告レポート [213 年第 2 四半期 (4 月 ~6 月 )] 脆弱性対策情報データベース JVN ipedia に関する活動報告レポートについて 本レポートでは 213 年 4 月 1 日から213 年 6 月 3 日までの間に JVN ipedia で登録をした脆弱性対策情報の統計及び事例について紹介しています 独立行政法人情報処理推進機構技術本部セキュリティセンター 213 年 7 月 19 日
目次 1. 213 年第 2 四半期脆弱性対策情報データベース JVN ipedia の登録状況... - 1-1-1. 脆弱性対策情報の登録状況... - 1-1-2. 注目情報 1 ウェブサイトの改ざんに悪用されているソフトウェアについて... - 2-1-3. 注目情報 2 サポートが終了するソフトウェアの脆弱性対策について... - 3-2. JVN ipedia の登録データ分類... - 4-2-1. 脆弱性の種類別... - 4-2-2. 脆弱性に関する深刻度別割合... - 4-2-3. 脆弱性対策情報を公表した製品の種類別... - 5-2-4. オープンソースソフトウェアの割合... - 6-2-5. 登録された製品の開発元 ( ベンダー ) の内訳... - 6-3. 脆弱性対策情報の活用状況... - 7 -
1. 213 年第 2 四半期脆弱性対策情報データベース JVN ipedia の登録状況脆弱性対策情報データベース JVN ipedia( http://jvndb.jvn.jp/ ) は 国内外で使用されているソフトウェアの脆弱性対策情報を収集 公開することにより 脆弱性関連情報を容易に利用可能とすることを目指しています 1) 国内のソフトウェア開発者が公開した脆弱性対策情報 2) 脆弱性対策情報ポータルサイト JVN (*1) で公表した脆弱性対策情報 3) 米国国立標準技術研究所 NIST (*2) の脆弱性データベース NVD (*3) が公開した脆弱性対策情報の中から情報を収集 翻訳し 27 年 4 月 25 日から公開しています 1-1. 脆弱性対策情報の登録状況 ~ 脆弱性対策情報の登録が累計 4, 件を超過 ~ 情報の収集元登録累計日本語版計 1,2 件 4,536 件英語版表 1-1. 213 年第 2 四半期の登録 213 年第 2 四半期 (213 年 4 月 1 日から 6 月 3 国内製品開発者 5 件 147 件 日まで ) に JVN ipedia 日本語版へ登録した脆弱性対 JVN 128 件 2,625 件 策情報は 国内製品開発者から収集したもの 5 件 ( 公 NVD 1,67 件 37,764 件 開開始からの累計は 147 件 ) JVN から収集したもの 128 件 ( 累計 2,625 件 ) NVD から収集したもの 1,67 国内製品開発者 5 件 147 件 件 ( 累計 37,764 件 ) 合計 1,2 件 ( 累計 4,536 件 ) JVN 37 件 774 件 となりました 脆弱性対策情報の登録が 累計 計 42 件 921 件 4, 件を超過しました ( 表 1-1 図 1-1) JVN ipedia 英語版は 国内製品開発者から収集したものが 5 件 ( 累計 147 件 ) JVN から収集した ものが 37 件 ( 累計 774 件 ) 合計 42 件 ( 累計 921 件 ) でした 14, 12, 四 1, 半 8, 期件 6, 数 4, 2, 27/4/25 公開開始 9,27 9,627 1,211 1,849 11,373 12,69 3Q 21 国内製品開発者から収集したもの JVNから収集したもの NVD から収集したもの 累計 ( 右目盛り ) 4Q 21 1Q 211 2Q 211 3Q 211 4Q 211 15,894 1Q 212 22,934 2Q 212 3,843 3Q 212 38,99 4Q 212 39,336 4,536 1Q 213 2Q 213 45, 4, 35, 3, 25, 2, 15, 1, 5, 累計 図 1-1. JVN ipediaの登録の四半期別推移 IPA では システム管理者が幅広いソフトウェア製品に関する脆弱性対策情報を日本語で取得し 脆弱性対策に活用できるよう 27 年以降に NVD に登録された脆弱性対策情報の全件を日本語に翻訳し JVN ipedia に登録しています (*1) Japan Vulnerability Notes 脆弱性対策情報ポータルサイト 製品開発者の脆弱性への対応状況を公開し システムのセキュリティ対策を支援しています IPA JPCERT/CC が共同で運営しています http://jvn.jp/ (*2) National Institute of Standards and Technology 米国国立標準技術研究所 米国の科学技術分野における計測と標準に関する研究を行う機関 http://www.nist.gov/ (*3) National Vulnerability Database NIST が運営する脆弱性データベース http://nvd.nist.gov/home.cfm 1
1-2. 注目情報 1 ウェブサイトの改ざんに悪用されているソフトウェアについて ~CMS(Contents Management System) の脆弱性が原因でウェブサイトが改ざんされるケースも ~ 企業や公共機関が運営しているウェブサイトが改ざんされる被害が継続的に発生しています IPA では 213 年 6 月の呼びかけ (*4) において ウェブサイトが改ざんされないように対策を! というテーマで利用者に注意を促しています 図 1-2-1 は 213 年 6 月の呼びかけ で脆弱性を悪用されたソフトウェアの事例として記載されたソフトウェアの脆弱性対策情報の登録状況です Joomla! WordPress といった CMS(Contents Management System (*5) ) をはじめとして Apache Struts Parallels Plesk Panel また Parallels Plesk Panel に付随してインストールされることの多い MySQL BIND phpmyadmin といったソ フトウェアの脆弱性は 27 年以降毎年 2 件前後が公開されています また 213 年は 6 月末時点で 11 件となっています 3 25 2 15 1 5 phpmyadmin BIND MySQL Parallels Plesk Panel Apache Struts WordPress Joomla! 98 43 191 222 211 ~25 26 27 28 29 21 211 212 213 図 1-2-1. 脆弱性を悪用されたソフトウェアの脆弱性対策情報の登録の年別推移 272 192 225 11 (~213/6/3) JVN ipedia では 共通脆弱性評価システム CVSS (*6) により それぞれの脆弱性の深刻度 (*7) を公開しています 図 1-2-2 は 前述の図 1-2-1 のソフトウェアについて深刻度割合を集計したものです これらの脆弱性の深刻度別の割合は レベル III( 危険 CVSS 基本値 =7.~1.) が 43% レベル II ( 警告 CVSS 基本値 =4.~6.9) が 52% レベル I( 注意 CVSS 基本値 =.~3.9) が 5% となっています レベル II 警告以上の深刻度の割合が 9 割を超過する状況は前四半期同様です 特に Joomla! については 724 件の内 462 件 (64%) がレベル III となっており 他のソフトウェアと比べて 深刻度の高い脆弱性が多く登録されています (*4) 毎月の呼びかけ IPA が毎月公開をしているセキュリティ関連の情報のこと 213 年 6 月は ウェブサイトが改ざんされないように対策を! を公開 http://www.ipa.go.jp/security/txt/213/6outline.html (*5) Contents Management System ウェブサイトを簡易に構築 管理するためのソフトウェアの総称 (*6) Common Vulnerability Scoring System 共通脆弱性評価システム http://www.ipa.go.jp/security/vuln/cvss.html 脆弱性の基本評価基準の数値を基に I,Ⅱ,Ⅲの 3 段階とし 数値が大きいほど深刻度が高い レベルⅢ: リモートからシステムを完全に制御されるような場合や大部分の情報が漏えいするような脅威 レベルⅡ: 一部の情報が漏えいするような場合やサービス停止につながるような脅威 レベルⅠ: 攻撃する為の条件が複雑な場合や レベルⅡに該当するが再現性が低い脅威 (*7) 脆弱性の深刻度評価の新バージョン CVSS v2 について http://www.ipa.go.jp/security/vuln/severitylevel2.html 2
phpmyadmin BIND MySQL 74 88 253 レベル I ( 注意 CVSS 基本値 =.~3.9) レベル II ( 警告 CVSS 基本値 =4.~6.9) レベル III( 危険 CVSS 基本値 =7.~1.) Parallels Plesk Panel 41 Apache Struts 24 WordPress 351 Joomla! 724 1 2 3 4 5 6 7 8 図 1-2-2. 脆弱性を悪用されたソフトウェアの脆弱性対策情報の深刻度割合 ( ) (~213/6/3) JVN ipedia には ウェブ改ざんに悪用された CMS をはじめとして 実際に悪用されたソフトウェアの深刻度の高い脆弱性が多数登録されています 製品利用者は情報を日々収集し 製品のバージョンアップなどを速やかに行ってください 1-3. 注目情報 2 サポートが終了するソフトウェアの脆弱性対策について ~Microsoft Windows XP のサポートが 214 年 4 月 9 日で終了予定 ~ 214 年 4 月 9 日でベンダーによるサポートが終了する Microsoft Windows XP は 民間企業の調査資料 (* 8) によると 213 年 3 月末時点でインターネットにアクセスする際の PC の約 3 割が Microsoft Windows XP であるとされています 図 1-3 は JVN ipedia に登録されている Microsoft Windows XP のソフトウェアの脆弱性対策情報を深刻度別に集計したものです その割合は レベル III( 危険 CVSS 基本値 =7.~1.) が 71% レベル II( 警告 CVSS 基本値 =4.~6.9) が 26% レベル I( 注意 CVSS 基本値 =.~3.9) が 3% となっています 既知の脆弱性の 97% がレベル II 以上であり 攻撃に用いられた場合には重要なサービスを停止させられる といった問題が発生する可能性が高くなります 18 16 14 12 1 8 6 4 2 4 レベル III( 危険 CVSS 基本値 =7.~1.) レベル II ( 警告 CVSS 基本値 =4.~6.9) レベル I ( 注意 CVSS 基本値 =.~3.9) 33 28 62 63 9 84 81 111 155 149 86 87 21 22 23 24 25 26 27 28 29 21 211 212 213 図 1-3. Microsoft Windows XP 脆弱性対策情報の年別の深刻度割合 (~213/6/3) ベンダーがサポートを終了したソフトウェアについては 脆弱性対策のパッチが提供されない可能性が高いため 可能なかぎり早期に 無償のものを含め サポート対応が可能な製品への切り替えを検討してください (*8) 株式会社ジャストシステム モバイル & ソーシャルメディア月次定点調査 https://www.fast-ask.com/report/report-monthly-21341.html 3
2. JVN ipedia の登録データ分類 2-1. 脆弱性の種類別図 2-1 のグラフは JVN ipedia へ 213 年第 2 四半期に登録した脆弱性対策情報を 共通脆弱性タイプ一覧 CWE (*9) のタイプ別をもとに分類したを示したものです は多い順に CWE-119( バッファエラー ) が 194 件 CWE-79( クロスサイト スクリプティング ) が 13 件 CWE-264( 認可 権限 アクセス制御の問題 ) が 114 件 CWE-2( 不適切な入力確認 ) が 96 件 CWE-399( リソース管理の問題 ) が 82 件 CWE-2( 情報漏えい ) が 55 件 などとなっています これらは広く認知されているタイプの脆弱性です 製品開発者は ソフトウェアの企画 設計段階から セキュリティ対策を講じ これら脆弱性の低減に努める必要があります なお IPA では セキュアなプログラム開発の一助となるよう参考資料として セキュア プログラミング講座 (*1) 実習形式による脆弱性体験学習ツール AppGoat (*11) を公開しています 25 2 15 1 5 194 13 114 96 82 CWE 119 : バッファエラー CWE 79 : クロスサイト スクリプティング CWE 264 : 認可 権限 アクセス制御の問題 CWE 2 : 不適切な入力確認 CWE 399 : リソース管理の問題 CWE 2 : 情報漏えい CWE 189 : 数値処理の問題 CWE 89 :SQL インジェクション CWE 287 : 不適切な認証 CWE 352 : クロスサイト リクエスト フォージェリ 55 41 29 27 23 CWE 119 CWE 79 CWE 264 CWE 2 CWE 399 CWE 2 CWE 189 CWE 89 CWE 287 CWE 352 図 2-1. 213 年第 2 四半期に登録した脆弱性の種類別 2-2. 脆弱性に関する深刻度別割合図 2-2 のグラフは JVN ipedia に登録済みの脆弱性対策情報のを脆弱性の深刻度別に分類し 公表年別にその推移を示したものです 脆弱性対策情報の公開開始から 213 年 6 月 3 日までに JVN ipedia に登録された脆弱性対策情報の深刻度別割合は レベル III( 危険 CVSS 基本値 =7.~1.) が 45% レベル II( 警告 CVSS 基本値 =4.~6.9) が 49% レベル I( 注意 CVSS 基本値 =.~3.9) が 6% となっています これら既知の脆弱性の深刻度は全体の 94% がレベルⅡ 以上となっています 既知の脆弱性による脅威を回避するため 製品利用者は製品のバージョンアップやセキュリティ対策パッチの適用などを速やかに行ってください (*9) Common Weakness Enumeration 共通脆弱性タイプ一覧 http://www.ipa.go.jp/security/vuln/cwe.html (*1) http://www.ipa.go.jp/security/awareness/vendor/programmingv2/index.html (*11) 脆弱性体験学習ツール AppGoat http://www.ipa.go.jp/security/vuln/appgoat/index.html 4
7, 6,5 6, 5,5 5, 4,5 4, 3,5 3, 2,5 2, 1,5 1, 5 レベル III( 危険 CVSS 基本値 =7.~1.) レベル II ( 警告 CVSS 基本値 =4.~6.9) レベル I ( 注意 CVSS 基本値 =.~3.9) 13 55 131 193 35 393 69 858 3,637 6,463 5,718 5,689 4,694 4,326 5,117 2,29 1998 1999 2 21 22 23 24 25 26 27 28 29 21 211 212 213 (~213/6/3) 図 2-2. 脆弱性に関する年別の深刻度別割合 2-3. 脆弱性対策情報を公表した製品の種類別 図 2-3 のグラフは JVN ipedia に登録済みの脆弱性対策情報について そのソフトウェア製品の種 類別に公表年別のを示したものです 製品の種類別でみるとアプリケーションに関する脆弱性 対策情報が全件のうちの 87% を占めており 最も多く公表されています また 28 年頃以降 重要インフラなどで利用される 産業用制御システムに関する脆弱性対策情 報が登録されるようになり 今四半期までの累計は 388 件 213 年は 6 月 3 日時点で 83 件が 公表されています 製品利用者はバージョンアップやセキュリティ対策パッチの適用などを速やかに行うことが重要 です 7, 6, 5, 4, 3, 産業用制御システム組込みソフトウェアアプリケーション OS 6,464 5,7235,691 5,123 4,71 4,353 3,643 2,213 2, 1, 13 55 131 193 353 396 861 614 1998 1999 2 21 22 23 24 25 26 27 28 29 21 211 212 213 (~213/6/3) 図 2-3. 脆弱性対策情報を公表した製品の種類別の公開年別推移 5
2-4. オープンソースソフトウェアの割合図 2-4 のグラフは JVN ipedia に登録済みの脆弱性対策情報について オープンソースソフトウェア (OSS) と OSS 以外のソフトウェアの公表年別推移を示したものです 累計で 16,284 件の OSS の登録があります 27 年以降の登録が 26 年以前と比べて多くなっているのは 27 年以降に NVD に登録された脆弱性対策情報の全てを JVN ipedia の登録対象としたことが一因です 全体から見た割合は OSS が 4% OSS 以外が 6% となっています 7, 1 6, 5, 4, 3, 2, 1, OSS 以外 8 OSS( オープンソースソフトウェア ) 3754 3376 OSSの割合 ( 右目盛り ) 3416 6 328 2785 2661 4 2175 271 1539 2347 2 2275 1925 1468 1692 295 11 44 91 14 242 244 33 416 674 2 11 4 53 111 152 284 445 1998 1999 2 21 22 23 24 25 26 27 28 29 21 211 212 213 (~213/6/3) 図 2-4. オープンソースソフトウェア (OSS) と OSS 以外の公開年別推移 O S S の割合 (%) 2-5. 登録された製品の開発元 ( ベンダー ) の内訳図 2-5-1 図 2-5-2 のグラフは 脆弱性対策情報の公開開始から 213 年 6 月 3 日までに JVN ipedia に登録された製品の開発元 ( ベンダー ) を分類したものです OSS ベンダーと OSS 以外のベンダーを国内ベンダー 海外ベンダー ( 日本法人有り ) 海外ベンダー( 日本法人無し ) でそれぞれ示しています 最も割合が多いのは日本法人の無いベンダーの製品です OSS ベンダーは 96.4% OSS 以外は 91.3% となっており 日本法人の無い海外ベンダーの製品の脆弱性対策情報が数多く登録されていることがわかります OSS 製品の利用は手軽である反面 安全に使用するためのサポートがベンダーなどから十分に得られない可能性があります セキュリティパッチの適用などのノウハウを持たない利用者は特に OSS 製品の利用を慎重に検討する必要があります 国内ベンダー海外ベンダー 87 ( 日本法人有り ) 68 国内ベンダー 海外ベンダー 184 ( 日本法人有り ) 21 海外ベンダー ( 日本法人無し ) 413 海外ベンダー ( 日本法人無し ) 4173 合計 4,285 ベンダー 合計 4,567 ベンダー 図 2-5-1. OSS のベンダーの内訳 図 2-5-2. OSS 以外のベンダーの内訳 6
3. 脆弱性対策情報の活用状況表 3-1 は 213 年第 2 四半期 (4 月 ~6 月 ) にアクセスの多かった JVN ipedia の脆弱性対策情報の 上位 2 件を示したものです 表 3-2 は国内の製品開発者から収集した脆弱性対策情報のアクセス数上位 5 件を示しています 表 3-1.JVN ipedia の脆弱性対策情報のアクセス数上位 2 件 [213 年 4 月 ~213 年 6 月 ] # ID タイトル 1 2 3 4 5 6 7 8 9 1 JVNDB-27-3445 Thomas R. Pasawicz HyperBook Guestbook におけるパスワードハッシュをダウンロードされる脆弱性 JVNDB-213-16 Kingsoft Writer におけるバッファオーバーフローの脆弱性 CVSS 基本値 公開日 5. 212/9/25 6.8 213/3/1 JVNDB-213-53 Internet Explorer における情報漏えいの脆弱性 2.6 213/6/7 JVNDB-212-12 Apache Struts 2 における任意の Java メソッド実行の脆弱性 JVNDB-213-58 一太郎シリーズにおいて任意のコードが実行される脆弱性 JVNDB-212-1258 Apache HTTP Server の protocol.c における HTTPOnly Cookie の値を取得される脆弱性 6.8 212/2/1 9.3 213/6/18 4.3 212/2/1 JVNDB-213-31 Active! mail における情報漏えいの脆弱性 2.1 213/4/4 JVNDB-213-2656 Linux Kernel の kernel/events/core.c における権限を取得される脆弱性 JVNDB-213-34 複数のサイボウズ製品におけるクロスサイトリクエストフォージェリの脆弱性 JVNDB-213-25 Android 版 OpenWnn におけるアクセス制限不備の脆弱性 7.2 213/5/15 2.6 213/4/15 2.6 213/3/29 11 JVNDB-213-37 Yahoo! ブラウザーにおけるアドレスバー偽装の脆弱性 4.3 213/4/26 12 13 14 JVNDB-213-1695 Apache HTTP Server におけるクロスサイトスクリプティングの脆弱性 JVNDB-213-295 HP System Management Homepage に OS コマンドインジェクションの脆弱性 JVNDB-213-1912 Perl のハッシュ値の再計算メカニズムにおけるサービス運用妨害 (DoS) の脆弱性 4.3 213/2/27 9. 213/6/13 7.5 213/3/21 15 JVNDB-213-43 EC-CUBE におけるアクセス制限不備の脆弱性 6.4 213/5/23 16 JVNDB-213-2545 Internet Explorer 8 に任意のコードが実行される脆弱性 9.3 213/5/7 17 18 JVNDB-29-13 PEAK XOOPS 製 pical におけるクロスサイトスクリプティングの脆弱性 JVNDB-213-33 Sleipnir Mobile for Android において任意のエクステンション API が呼び出される脆弱性 4.3 29/2/25 4. 213/4/12 19 JVNDB-213-32 Sleipnir for Windows におけるアドレスバー偽装の脆弱性 4.3 213/4/11 7
# ID タイトル CVSS 基本値 公開日 2 JVNDB-213-29 Simeji におけるアクセス制限不備の脆弱性 2.6 213/3/26 表 3-2. 国内の製品開発者から収集した脆弱性対策情報のアクセス数上位 5 件 [213 年 4 月 ~213 年 6 月 ] # ID タイトル JVNDB-213-165 Hitachi Tuning Manager および JP1/Performance Management における複数の脆弱性 1 JVNDB-213-1321 日立 Cosminexus の運用管理機能におけるユーザ認証の 2 脆弱性 JVNDB-213-147 Accela BizSearch におけるユーザになりすまされる脆弱 3 性 JVNDB-212-5827 複数の日立製品に含まれる Collaboration - Bulletin board 4 におけるクロスサイトスクリプティングの脆弱性 JVNDB-28-1313 JP1/Cm2/Network Node Manager におけるサービス運用 5 妨害 (DoS) の脆弱性 CVSS 基本値 公開日 9. 213/2/2 6.8 213/1/31 6.8 213/2/13 4.3 212/12/28 5. 28/5/9 注 1)CVSS 基本値の深刻度による色分け CVSS 基本値 =.~3.9 深刻度 = レベル I( 注意 ) CVSS 基本値 =4.~6.9 深刻度 = レベル II( 警告 ) CVSS 基本値 =7.~1. 深刻度 = レベル III( 危険 ) 注 2) 公開日の年による色分け 211 年以前の公開 212 年の公開 213 年の公開 8