脆弱性対策情報データベース JVN iPedia に関する 活動報告レポート [2016 年第 2 四半期(4 月~6 月)] 脆弱性対策情報データベース JVN iPedia に関する活動報告レポートについて 本レポートでは、2016 年 4 月 1 日から 2016 年 6 月 30 日までの間に JVN iPedia で登録をした脆弱性対策情報の統計及び事例について紹介しています。 独立行政法人情報処理推進機構 技術本部 セキュリティセンター 2016 年 7 月 26 日 目次 1. 2016 年第 2 四半期 脆弱性対策情報データベース JVN iPedia の登録状況 .............................. - 2 1-1. 脆弱性対策情報の登録状況 ................................................................................................... - 2 1-2. 【注目情報】Apache Struts の脆弱性対策情報について ..................................................... - 3 2. JVN iPedia の登録データ分類 ....................................................................................................... - 5 2-1. 脆弱性の種類別件数 .............................................................................................................. - 5 2-2. 脆弱性に関する深刻度別割合 ................................................................................................ - 6 2-3. 脆弱性対策情報を公表した製品の種類別件数 ...................................................................... - 6 2-4. 脆弱性対策情報の製品別登録状況 ........................................................................................ - 8 3. 脆弱性対策情報の活用状況 .......................................................................................................... - 9 - 1. 2016 年第 2 四半期 脆弱性対策情報データベース JVN iPedia の登録状況 脆弱性対策情報データベース「JVN iPedia( http://jvndb.jvn.jp/ )」は、ソフトウェア製品に関 する脆弱性対策情報を 2007 年 4 月 25 日から日本語で公開しています。システム管理者が迅速に脆 弱性対策を行えるよう、1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情 報ポータルサイト JVN(*1)で公表した脆弱性対策情報、3)米国国立標準技術研究所 NIST(*2)の脆弱 性データベース「NVD(*3)」が公開した脆弱性対策情報を集約、翻訳しています。 1-1. 脆弱性対策情報の登録状況 表 1-1. 2016 年第 2 四半期の登録件数 ~登録件数の累計が 60,000 件を超過~ 情報の収集元 2016 年第 2 四半期(2016 年 4 月 1 日から 6 月 30 日まで)に JVN iPedia 日本語版へ登録した脆弱 性対策情報は右表の通りとなり、脆弱性対策情報の 登録件数の累計は、 61,309 件でした (表 1-1、 図 1-1) 。 JVN iPedia 英語版へ登録した脆弱性対策情報も右 表の通り、累計で 1,458 件になりました。 3,000 2,000 国内製品開発者から収集したもの JVNから収集したもの NVDから収集したもの 累計件数(右目盛り) 53,235 日 本 語 版 国内製品開発者 JVN NVD 計 英 語 版 国内製品開発者 JVN 58,094 56,475 計 59,547 登録件数 累計件数 2件 176 件 206 件 6,498 件 1,554 件 54,635 件 1,762 件 61,309 件 2件 176 件 84 件 1,282 件 86 件 1,458 件 61,309 70,000 60,000 50,000 54,714 四 半 期 件 1,000 数 40,000 累 計 30,000 件 20,000 数 10,000 0 2007/4/25 公開開始 0 1Q 2015 2Q 2015 3Q 2015 4Q 2015 1Q 2016 2Q 2016 図1-1. JVN iPediaの登録件数の四半期別推移 (*1) Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリ ティ対策を支援しています。IPA、JPCERT/CC が共同で運営しています。 https://jvn.jp/ (*2) National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する 研究を行う機関。 http://www.nist.gov/ (*3) National Vulnerability Database。NIST が運営する脆弱性データベース。http://nvd.nist.gov/home.cfm 2 1-2. 【注目情報】Apache Struts の脆弱性対策情報について ~今四半期に登録した Apache Struts の脆弱性 15 件のうち 2 件で危険な攻撃コードを確認~ 2016 年第 2 四半期(4 月~6 月)は、Apache Struts(*4)の脆弱性が複数公表されています。この Apache Struts の脆弱性の一部については、遠隔の第三者から任意のコードを実行される、といった 危険な攻撃コードが脆弱性公表の時点で既に公開されており、IPA では緊急対策情報として 4 月と 6 月に注意を呼びかけています(*5)(*6)。 2016 年第 2 四半期(4 月~6 月)に JVN iPedia へ登録した Apache Struts の脆弱性対策情報を 確認すると、緊急対策情報で発信した情報(JVNDB-2016-002326、JVNDB-2016-000110)も含めて 15 件を登録しています(表 1-2)。登録している脆弱性対策情報の「影響を受けるシステム」に着目を すると、Apache Struts 1 が影響を受ける脆弱性対策情報は 2 件、Apache Struts 2 が影響を受け る脆弱性対策情報は 13 件登録しています。 表 1-2. Apache Struts に関する脆弱性対策情報(2016 年 4 月~6 月) No 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 ID(CVE) タイトル JVNDB-2016-002004 (CVE-2016-4003) JVNDB-2016-002075 (CVE-2016-0785) JVNDB-2016-002076 (CVE-2016-2162) JVNDB-2016-002326 (CVE-2016-3081) Apache Struts で使用される JRE の URLDecoder 関数 におけるクロスサイトスクリプティングの脆弱性 Apache Struts における任意のコードを実行される脆 弱性 Apache Struts におけるクロスサイトスクリプティン グの脆弱性 Apache Struts2 に任意のコード実行の脆弱性 (緊急対策情報発信) JVNDB-2016-002406 (CVE-2016-3082) JVNDB-2016-000096 (CVE-2016-1181) JVNDB-2016-000097 (CVE-2016-1182) JVNDB-2016-003040 (CVE-2016-3087) JVNDB-2016-003041 (CVE-2016-3093) JVNDB-2016-000110 (CVE-2016-4438) JVNDB-2016-000111 (CVE-2016-4430) JVNDB-2016-000112 (CVE-2016-4433) JVNDB-2016-000113 (CVE-2016-4431) JVNDB-2016-000114 (CVE-2016-4465) JVNDB-2016-000121 (CVE-2016-3092) 影響を受けるシステム(Apache Strutsのみ記載) Apache Struts 2.3.28 未満の 2.x (JRE 1.8 未満) 2016/4/13 Apache Struts 2.3.28 未満の 2.x 2016/4/18 Apache Struts 2.3.28 未満の 2.x 2016/4/18 Apache Struts 2.3.20 から 2.3.28 まで (Struts 2.3.20.3 および Struts 2.3.24.3 を除く) Apache Struts 2.3.20.2 未満の 2.x Apache Struts の XSLTResult における任意のコードを Apache Struts 2.3.24.2 未満の 2.3.24.x 実行される脆弱性 Apache Struts 2.3.28.1 未満の 2.3.28.x Apache Struts 1 におけるメモリ上にあるコンポーネ Apache Struts バージョン 1.0 から 1.3.10 まで ントを操作可能な脆弱性 Apache Struts 1 における入力値検証機能に関する脆 Apache Struts バージョン 1.1 から 1.3.10 まで 弱性 Apache Struts 2.3.20.3 未満の 2.3.20.x Apache Struts における任意のコードを実行される脆 Apache Struts 2.3.24.3 未満の 2.3.24.x 弱性 Apache Struts 2.3.28.1 未満の 2.3.28.x Apache Struts におけるサービス運用妨害 (DoS) の脆 Apache Struts 2.3.24.1 までの 2.0.0 弱性 Apache Struts において任意のコードを実行可能な脆 Apache Struts 2.3.20 から 2.3.28.1 まで 弱性(緊急対策情報発信) Apache Strutsにおけるクロスサイトリクエストフォー Apache Struts 2.3.20 から 2.3.28.1 まで ジェリの脆弱性 Apache Strutsの Getter メソッドにおける検証回避の Apache Struts 2.3.20 から 2.3.28.1 まで 脆弱性 Apache Strutsにおける入力値検証の回避の脆弱性 JVN iPedia 公開日 Apache Struts 2.3.20 から 2.3.28.1 まで Apache Struts におけるサービス運用妨害 (DoS) の脆 Apache Struts 2.3.20 から 2.3.28.1 まで 弱性 Apache Struts 2.5 Apache Commons FileUpload におけるサービス運用 Apache Struts 2.5.1 およびそれ以前 妨害 (DoS) の脆弱性 2016/4/28 2016/5/6 2016/6/7 2016/6/7 2016/6/10 2016/6/10 2016/6/20 2016/6/20 2016/6/20 2016/6/20 2016/6/20 2016/6/30 Apache Struts1 は、2013 年 4 月に公式サポートが終了となっており、通常であれば脆弱性対策 情報や修正バージョンは公表されません。そのため Apache Struts 2 が影響を受ける脆弱性対策情 報において、Apache Struts 1 への脆弱性の影響確認は行われない可能性があります。このため、脆 弱性対策がされていない Apache Struts 1 を継続使用することにより、遠隔の第三者によりサービ ス運用妨害(DoS 攻撃)を受けたり、任意のコードを実行されたりするなどの深刻な被害を受ける可能 (*4) (*5) (*6) java を用いたウェブアプリケーションなどを開発するためのオープンソースのソフトウェアフレームワーク Apache Struts2 の脆弱性対策について(CVE-2016-3081)(S2-032) https://www.ipa.go.jp/security/ciadr/vul/20160427-struts.html 「Apache Struts」において任意のコードを実行可能な脆弱性対策について(JVN#07710476) https://www.ipa.go.jp/security/ciadr/vul/20160620-jvn.html 3 性が想定されます。 企業のフレームワークなどには、サポートが終了している Apache Struts 1 を組み込んだまま運用 しているところもあります。Apache Struts 1 を利用している企業のシステム管理者は、ベンダーな どがサポートを行っている Apache Struts 2 や他のフレームワークなどに早急に切り替えることを 検討する必要があります。また、サポートが継続しているフレームワークを利用している場合には、 日々の脆弱性対策情報の迅速な把握や最新バージョンへの更新などの対策実施を行うことが重要で す。 4 2. JVN iPedia の登録データ分類 2-1. 脆弱性の種類別件数 図 2-1 は、2016 年第 2 四半期(4 月~6 月)に JVN iPedia へ登録した脆弱性対策情報を、共通脆 弱性タイプ一覧(CWE)によって分類し、件数を集計した示したものです。 集計結果は件数が多い順に、CWE-119(バッファエラー)が 353 件、CWE-20(不適切な入力確 認)が 176 件、CWE-264(認可・権限・アクセス制御不備)が 170 件、CWE-200(情報漏えい) が 165 件、CWE-79(クロスサイト・スクリプティング)が 96 件、でした。最も件数の多かった CWE-119(バッファエラー)は、悪用されるとサーバや PC 上で悪意のあるコードが実行され、デ ータを盗み見られたり、改ざんされる、などの被害が発生する可能性があります。 製品開発者は、ソフトウェアの企画・設計段階から、セキュリティ対策を講じ、脆弱性の低減に努 めることが求められます。なお、IPA ではそのための資料やツールとして、開発者や運営者が適切な セキュリティを考慮したウェブサイトを作成するための資料「安全なウェブサイトの作り方(*7)」、 脆弱性の仕組みを実習形式や演習機能で学ぶことができる脆弱性体験学習ツール「AppGoat(*8)」を 公開しています。 CWE-119 :バッファエラー CWE-20 :不適切な入力確認 CWE-264 :認可・権限・アクセス制御不備 CWE-200 :情報漏えい CWE-79 :クロスサイト・スクリプティング CWE-399 :リソース管理の問題 CWE-189 :数値処理の問題 CWE-89 :SQLインジェクション CWE-22 :パス・トラバーサル CWE-352 :クロスサイト・リクエスト・フォージェリ 400 350 300 250 件 200 数 150 100 50 353 176 170 165 96 40 0 21 20 20 16 CWE-119 CWE-20 CWE-264 CWE-200 CWE-79 CWE-399 CWE-189 CWE-89 CWE-22 CWE-352 図2-1. 2016年第2四半期に登録された脆弱性の種類別件数 (*7) 「安全なウェブサイトの作り方」 https://www.ipa.go.jp/security/vuln/websecurity.html 脆弱性体験学習ツール「AppGoat」 https://www.ipa.go.jp/security/vuln/appgoat/index.html (*8) 5 2-2. 脆弱性に関する深刻度別割合 図 2-2 は JVN iPedia に登録済みの脆弱性対策情報を CVSSv2 の値に基づいて深刻度別に分類し、 公表年別にその推移を示したものです。 脆弱性対策情報の公開開始から 2016 年 6 月 30 日までに JVN iPedia に登録した脆弱性対策情報 は深刻度別に、レベルⅢが全体の 40.1%、レベルⅡが 52.5%、レベルⅠが 7.4%となっています。 これら既知の脆弱性の深刻度は、92.6%が情報の漏えい、改ざんされるような高い脅威であるレベ ルⅡ以上となっています。既知の脆弱性による脅威を回避するため、製品利用者は脆弱性が解消され ている製品へのバージョンアップやアップデートなどを速やかに行ってください。 なお、JVN iPedia では、CVSSv2 によるこれまでの評価方法に加えて、2015 年 12 月 1 日より CVSSv3 による評価方法も試行運用しています。 10,000 9,000 8,000 7,000 件 数 レベルⅢ(危険、CVSS基本値=7.0~10.0) レベルⅡ(警告、CVSS基本値=4.0~6.9) レベルⅠ(注意、CVSS基本値=0.0~3.9) 6,595 6,463 5,720 6,000 7,284 5,695 5,457 4,743 5,000 6,191 5,862 4,480 4,000 3,000 2,457 2,000 1,000 0 ~2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 (~2016/6/30) 図2-2. 脆弱性の深刻度別件数 2-3. 脆弱性対策情報を公表した製品の種類別件数 図 2-3 は JVN iPedia に登録済みの脆弱性対策情報を、ソフトウェア製品の種類別に件数を集計し、 年次でその推移を示したものです。最も多いのはアプリケーションに関する脆弱性対策情報で、 2016 年の件数全件の 72.3%を占めています。 6 産業用制御システム 組込みソフトウェア アプリケーション OS 10,000 9,000 8,000 7,000 件 6,000 数 5,000 4,000 3,000 2,000 1,000 0 6,615 7,295 6,465 5,725 5,697 5,464 4,759 6,195 5,868 4,505 2,487 ~2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 (~2016/6/30) 図2-3. 脆弱性対策情報を公表した製品の種類別件数の公開年別推移 また 2007 年以降、重要インフラなどで利用される、産業用制御システムに関する脆弱性対策情報 を登録しています。これまでに累計で 882 件が登録しています(図 2-4) 。 200 160 件 数 189 120 178 80 95 94 40 0 145 140 1 8 10 2007年 2008年 2009年 22 2010年 2011年 2012年 2013年 2014年 図2-4. JVN iPedia 登録件数(産業用制御システムのみ抽出) 7 2015年 2016年 (~2016/6/30) 2-4. 脆弱性対策情報の製品別登録状況 表 2-4 は 2016 年第 2 四半期(4 月~6 月)に JVN iPedia へ脆弱性対策情報の登録が多かった製 品の上位 20 件を示したものです。上位 20 件中 13 件が OS 製品となっており、上位 20 件の 6 割以 上を占めています。OS 以外の製品に着目すると動画再生ソフトである Adobe Flash Player や PDF を閲覧するための Adobe Reader など、オフィスでも広く利用されるアドビシステムズの製品に関す る脆弱性対策情報も多く登録しています。 JVN iPedia は、表にある OS 製品や PDF 閲覧ソフトの脆弱性対策情報だけではなく、国内の企業 や家庭で使われているソフトウェアに関する脆弱性対策情報を網羅的に登録しています。製品の利用 者や開発者は、自組織などで使用しているソフトウェアの脆弱性対策情報を迅速に入手し、効率的な 対策に役立ててください(*9)。 表 2-4. 製品別 JVN iPedia の脆弱性対策情報登録件数 順位 カテゴリ 1 ブラウザ 2 上位 20 件 [2016 年 4 月~2016 年 6 月] 製品名(ベンダー) 登録件数 Google Chrome(Google) 147 OS Microsoft Windows 10(マイクロソフト) 120 2 OS Microsoft Windows Server 2012(マイクロソフト) 120 4 OS Microsoft Windows 8.1(マイクロソフト) 118 5 OS Debian GNU/Linux(Debian) 116 6 OS Android(Google) 107 7 OS Linux Kernel(kernel.org) 102 8 OS Microsoft Windows RT 8.1(マイクロソフト) 99 9 PDF 閲覧 Adobe Acrobat Reader DC(アドビシステムズ) 93 9 PDF 閲覧 Adobe Reader(アドビシステムズ) 93 9 PDF 閲覧・編集 Adobe Acrobat DC(アドビシステムズ) 93 9 PDF 閲覧・編集 Adobe Acrobat(アドビシステムズ) 93 9 動画再生ソフト Adobe Flash Player(アドビシステムズ) 93 14 OS Apple Mac OS X(アップル) 72 15 スクリプト言語 PHP(The PHP Group) 53 16 OS Ubuntu(Canonical) 50 17 OS openSUSE(openSUSE project) 45 18 OS iOS(アップル) 42 19 OS tvOS(アップル) 33 20 OS Microsoft Windows Server 2008(マイクロソフト) 32 (*9) 脆弱性情報の収集や集めた情報の活用方法についての手引きをまとめたレポート 「脆弱性対策の効果的な進め方(実践編)」を公開。 https://www.ipa.go.jp/security/technicalwatch/20150331.html 8 3. 脆弱性対策情報の活用状況 表 3-1 は 2016 年第 2 四半期(4 月~6 月)にアクセスの多かった JVN iPedia の脆弱性対策情報 の上位 20 件を示したものです。 1 位、3 位、4 位、5 位は Apache Struts に関する脆弱性で、ウェブアプリケーションを作成する 上で広く利用されていることから注目されたと推測されます。その中でも 5 位の脆弱性は悪用する攻 撃コードが確認されたことから IPA で緊急対策情報を発信しました。また、暗号化通信で利用される OpenSSL に関する脆弱性として 2 位、12 位、14 位、15 位、19 位と、計 5 件がランクインしてい ま す 。 6 位 は画 像処 理ア プ リケ ーシ ョン の ImageMagick に 関す る脆弱 性 で、 この 脆弱 性 は 「ImageTragick」という呼称が用いられ、注目されました。 表 3-1.JVN iPedia の脆弱性対策情報へのアクセス 上位 20 件 [2016 年 4 月~2016 年 6 月] 順位 ID タイトル CVSSv2 基本値 公開日 1 JVNDB-2016-000096 Apache Struts 1 におけるメモリ上にあるコンポー ネントを操作可能な脆弱性 6.8 2016/6/7 2 JVNDB-2016-002475 OpenSSL の ASN.1 の実装における任意のコード を実行される脆弱性 10.0 2016/5/10 3 JVNDB-2016-000097 Apache Struts 1 における入力値検証機能に関する 脆弱性 5.8 2016/6/7 4 JVNDB-2016-002075 Apache Struts における任意のコードを実行される 脆弱性 10.0 2016/4/18 5 JVNDB-2016-000110 Apache Struts において任意のコードを実行可能な 脆弱性 6.8 2016/6/20 6 JVNDB-2016-002443 10.0 2016/5/9 7 JVNDB-2016-000054 Electron における Node モジュール読み込みに関 する問題 6.8 2016/4/22 8 JVNDB-2016-000064 WordPress 用プラグイン「Ninja Forms」における PHP オブジェクトインジェクションの脆弱性 6.8 2016/5/13 9 JVNDB-2016-000074 企業向けウイルスバスター製品におけるディレクト リトラバーサルの脆弱性 3.3 2016/5/25 10 JVNDB-2016-000089 企業向けウイルスバスター製品における HTTP ヘ ッダインジェクションの脆弱性 2.9 2016/5/25 11 JVNDB-2016-001928 PHP の WDDX エクステンションの wddx.c にお けるサービス運用妨害 (DoS) の脆弱性 7.5 2016/4/1 12 JVNDB-2016-003304 OpenSSL におけるサービス運用妨害 (DoS) の脆 弱性 7.5 2016/6/22 13 JVNDB-2016-000036 Aterm WG300HP におけるクロスサイトリクエス トフォージェリの脆弱性 2.6 2016/3/30 14 JVNDB-2016-002474 OpenSSL の AES-NI の実装における重要な平文情 報を取得される脆弱性 2.6 2016/5/10 ImageMagick に入力値検証不備の脆弱性 9 CVSSv2 基本値 公開日 15 OpenSSL の ASN.1 BIO の 実 装 の crypJVNDB-2016-002476 to/asn1/a_d2i_fp.c の asn1_d2i_read_bio 関 数 におけるサービス運用妨害 (DoS) の脆弱性 7.8 2016/5/10 16 JVNDB-2016-000035 Aterm WF800HP におけるクロスサイトリクエス トフォージェリの脆弱性 4.0 2016/3/30 17 JVNDB-2016-000063 2.6 2016/5/13 18 JVNDB-2016-002184 10.0 2016/4/25 6.4 2016/5/10 4.3 2016/4/8 順位 ID タイトル FileMaker Server において PHP ソースコードが 閲覧可能な問題 複数の Oracle Java 製品における JMX に関する 脆弱性 OpenSSL 19 の crypto/x509/x509_obj.c の JVNDB-2016-002477 X509_NAME_oneline 関数におけるプロセススタ ックメモリから重要な情報を取得される脆弱性 20 EC-CUBE 用プラグイン「ソーシャルボタン設置プ ラグイン -プレミアム-」および「ソーシャルボタン JVNDB-2016-000048 設置プラグイン」におけるクロスサイトスクリプテ ィングの脆弱性 表 3-2 は国内の製品開発者から収集した脆弱性対策情報でアクセスの多かった上位 5 件を示してい ます。対象製品を利用している場合、システム管理者は、ベンダーが提供する対策パッチなどを早期 に自システムに適用し、攻撃による被害を未然に防ぐことが重要です。 表 3-2.国内の製品開発者から収集した脆弱性対策情報へのアクセス 上位 5 件 [2016 年 4 月~2016 年 6 月] 順位 ID タイトル CVSSv2 基本値 公開日 1 JVNDB-2016-002716 Hitachi Tuning Manager におけるクロスサイト スクリプティングの脆弱性 5.0 2016/5/18 2 JVNDB-2016-001559 Hitachi Compute Systems Manager における情 報漏えいに関する脆弱性 3.5 2016/3/4 3 JVNDB-2016-002715 Hitachi Command Suite 製品における情報漏え いに関する脆弱性 5.0 2016/5/18 4 JVNDB-2016-001472 Hitachi Command Suite 製品における外部のファ イルをブラウザにロードできる脆弱性 10.0 2016/2/24 5 uCosminexus Portal Framework お よ び JVNDB-2015-006527 Groupmax Collaboration におけるクロスサイト スクリプティングの脆弱性 3.5 2015/12/28 注 1)CVSSv2 基本値の深刻度による色分け CVSS 基本値=0.0~3.9 CVSS 基本値=4.0~6.9 CVSS 基本値=7.0~10.0 深刻度=レベル I(注意) 深刻度=レベル II(警告) 深刻度=レベル III(危険) 注 2)公開日の年による色分け 2014 年以前の公開 2015 年の公開 10 2016 年の公開
© Copyright 2024 ExpyDoc
