活動報告レポート

脆弱性対策情報データベース
JVN iPedia に関する
活動報告レポート
[2016 年第 4 四半期(10 月~12 月)]
脆弱性対策情報データベース JVN iPedia に関する活動報告レポートについて
本レポートでは、
2016 年 10 月 1 日から 2016 年 12 月 31 日までの間に JVN iPedia
で登録をした脆弱性対策情報の統計及び事例について紹介しています。
独立行政法人情報処理推進機構 技術本部 セキュリティセンター
2017 年 1 月 24 日
目次
1. 2016 年第 4 四半期 脆弱性対策情報データベース JVN iPedia の登録状況 .............................. - 2 1-1. 脆弱性対策情報の登録状況 ................................................................................................... - 2 1-2. 【注目情報 1】2016 年 年間の注意喚起/緊急対策情報から分かる脆弱性の深刻度につい
て.................................................................................................................................................... - 3 1-3. 【注目情報 2】2016 年 年間の Android OS の脆弱性対策情報の登録件数について ........ - 5 2. JVN iPedia の登録データ分類 ....................................................................................................... - 6 2-1. 脆弱性の種類別件数 .............................................................................................................. - 6 2-2. 脆弱性に関する深刻度別割合 ................................................................................................ - 7 2-3. 脆弱性対策情報を公表した製品の種類別件数 ...................................................................... - 8 2-4. 脆弱性対策情報の製品別登録状況 ........................................................................................ - 9 3. 脆弱性対策情報の活用状況 ........................................................................................................ - 10 -
1. 2016 年第 4 四半期 脆弱性対策情報データベース JVN iPedia の登録状況
脆弱性対策情報データベース「JVN iPedia( http://jvndb.jvn.jp/ )」は、ソフトウェア製品に関
する脆弱性対策情報を 2007 年 4 月 25 日から日本語で公開しています。システム管理者が迅速に脆
弱性対策を行えるよう、1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情
報ポータルサイト JVN(*1)で公表した脆弱性対策情報、3)米国国立標準技術研究所 NIST(*2)の脆弱
性データベース「NVD(*3)」が公開した脆弱性対策情報を集約、翻訳しています。
1-1. 脆弱性対策情報の登録状況
表 1-1. 2016 年第 4 四半期の登録件数
~脆弱性対策情報の登録件数の累計は 64,618 件~
情報の収集元
2016 年第 4 四半期(2016 年 10 月 1 日から 12
月 31 日まで)に JVN iPedia 日本語版へ登録した脆
弱性対策情報は右表の通りとなり、脆弱性対策情報
の登録件数の累計は、64,618 件でした(表 1-1、図
1-1)
。
JVN iPedia 英語版へ登録した脆弱性対策情報も右
表の通り、累計で 1,588 件になりました。
3,000
2,000
四
半
期
件 1,000
数
国内製品開発者から収集したもの
JVNから収集したもの
NVDから収集したもの
累計件数(右目盛り)
56,475
日
本
語
版
国内製品開発者
JVN
NVD
計
英
語
版
国内製品開発者
JVN
計
登録件数
累計件数
1件
179 件
117 件
6,893 件
1,453 件
57,546 件
1,571 件
64,618 件
1件
179 件
71 件
1,409 件
72 件
1,588 件
80,000
59,547
61,309
63,047
64,618
70,000
60,000
58,094
50,000
30,000 件
20,000
10,000
0
2007/4/25
公開開始
0
3Q
2015
4Q
2015
1Q
2016
2Q
2016
3Q
2016
4Q
2016
図1-1. JVN iPediaの登録件数の四半期別推移
(*1)
累
40,000 計
Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリ
ティ対策を支援しています。IPA、JPCERT/CC が共同で運営しています。 https://jvn.jp/
(*2)
National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する
研究を行う機関。 http://www.nist.gov/
(*3)
National Vulnerability Database。NIST が運営する脆弱性データベース。http://nvd.nist.gov/home.cfm
数
1-2. 【注目情報 1】2016 年 年間の注意喚起/緊急対策情報から分かる脆弱性の
深刻度について
~深刻度「危険」の脆弱性対策情報は、Adobe Flash Player 95.7%、Adobe Reader 83.3%~
2016 年も広く世間で利用されている製品について、攻撃に悪用された脆弱性や深刻度の高い危険
な脆弱性が公開されました。例えば、2016 年の第 4 四半期だけでも、10 月には Adobe Reader や
Oracle JRE について、リスクの高い脆弱性(CVE-2016-1089、CVE-2016-5556 等)が公開されま
した。この脆弱性が悪用されるとコンピュータを乗っ取られる可能性等がありました。また、12 月
には Adobe Flash Player について、ゼロデイ攻撃に悪用された脆弱性(CVE-2016-7892)が公開さ
れました。
IPA では、これらのように深刻度が高い脆弱性が公開された際に、注意喚起/緊急対策情報の発信
を行っています。2016 年は合計 51 件の発信を行い、その内、上述の Adobe Flash Player は 15 件、
Adobe Reader は 5 件、Oracle JRE は 5 件と全体の約半数を占めました。そこで、これら注意喚起
/緊急対策情報の発信件数が多い 3 製品の脆弱性対策情報の登録状況について見ていきます。
図 1-2-1 および図 1-2-2、図 1-2-3 は、それぞれ 2016 年の Adobe Flash Player、Adobe Reader、
Oracle JRE の脆弱性の深刻度別件数とその割合を示したものです。レベルⅢ(深刻度:危険)の占め
る割合は Adobe Flash Player では 95.7%と 100%に迫るほどであり、Adobe Reader でも 8 割を超
えています。
また、
図 1-2-4 は Adobe Reader の脆弱性対策情報の登録件数及び深刻度別件数の 2012
年から 2016 年までの 5 年間の推移です。
登録された脆弱性の件数が 2016 年は顕著に多く、前年の約 1.7 倍でした。深刻度が「危険」とさ
れる脆弱性の登録件数も増加傾向で、その割合は 83%でした。
公表された脆弱性に対し、最新のパッチを適用せずに、脆弱性を放置したまま製品を使用し続ける
と、脆弱性を悪用した攻撃による被害を受ける可能性が高くなります。Adobe Flash Player、Adobe
Reader、Oracle JRE の利用者は、最新のパッチがベンダから公開されているか常に確認し、アップ
デート情報が公開された場合には、すみやかに最新のパッチを適用するなど、日々の脆弱性対策を実
施してください。なお、IPA では、脆弱性対策の確実な実施と促進のために、組織のシステム管理者
向けに、サイバーセキュリティ注意喚起サービス「icat(*4)」というツールを提供しています。この
ツールでは IPA が注意喚起/緊急対策情報の発信を行った、深刻度が高い脆弱性対策情報をリアルタ
イムに配信しています。
また、組織の従業員・職員や、主婦・学生といった家庭で PC を利用している一般ユーザ向けに、
「MyJVN バージョンチェッカ(*5)」を提供しています。このツールを使えば、PC にインストールし
ているソフトウェア製品のバージョンが最新であるかを確認することができます。日々の脆弱性対策
の一環として、本ツールの活用をおすすめします。
(*4)
「icat」https://www.ipa.go.jp/security/vuln/icat.html
一般組織と官公庁・学術機関を含め、約 1,100 サイトで利用されている(2016 年 12 月時点)。
(*5)
「MyJVN バージョンチェッカ」http://jvndb.jvn.jp/apis/myjvn/
1-3. 【注目情報 2】2016 年 年間の Android OS の脆弱性対策情報の登録件数に
ついて
~2016 年の Android OS の脆弱性対策情報の登録件数は 508 件で、前年の 4.5 倍に~
2016 年 10 月に、Linux カーネルの Dirty COW(CVE-2016-5195)と呼ばれる脆弱性が公表され
ました。Android OS(以降、Android)には Linux が利用されているため、本脆弱性は Android の
全バージョンに影響する可能性があり(2016 年 11 月時点で最新バージョンであった Android 7.0
Nougat を含む)、加えて、この脆弱性に対する攻撃コードも多数公開されていました。2016 年は
Android に関する脆弱性はこの他にも多数公開されています。そこで、Android の脆弱性対策情報の
登録状況について見ていきます。
図 1-3-1 は、Android の脆弱性対策情報の登録件数及び深刻度別件数の 2012 年から 2016 年ま
での 5 年間の推移を示しています。また図 1-3-2 は 2016 年の 1 年間に登録された Android の脆弱
性の深刻度の件数とその割合を示しています。
図 1-3-1 では、2016 年の Android の脆弱性対策情報登録件数が、2015 年の登録件数の 4.5 倍に
なっています。また図 1-3-2 では、脆弱性の深刻度が「危険」と位置付けられる脆弱性の割合は 65.9%
であり、被害を受けた場合の影響が大きい脆弱性が存在していることが分かります。
普段何気なく利用しているスマートフォンやタブレット端末にも脆弱性が存在していることを認
識し、利用者は、最新のパッチが公開された場合には、すみやかにアップデートを実施する必要があ
ります。
2. JVN iPedia の登録データ分類
2-1. 脆弱性の種類別件数
図 2-1 は、2016 年第 4 四半期(10 月~12 月)に JVN iPedia へ登録した脆弱性対策情報を、共
通脆弱性タイプ一覧(CWE)によって分類し、件数を集計したものです。
集計結果は件数が多い順に、CWE-119(バッファエラー)が 234 件、CWE-200(情報漏えい)
が 187 件、CWE-264(認可・権限・アクセス制御不備)が 160 件、CWE-79(クロスサイト・スク
リプティング)が 149 件、CWE-20(不適切な入力確認)が 109 件でした。最も件数の多かった
CWE-119(バッファエラー)は、悪用されるとサーバや PC 上で悪意のあるコードが実行され、デ
ータを盗み見られたり、改ざんされる、などの被害が発生する可能性があります。
製品開発者は、ソフトウェアの企画・設計段階から、脆弱性の低減に努めることが求められます。
なお、IPA ではそのための資料やツールとして、開発者や運営者がセキュリティを考慮したウェブサ
イトを作成するための資料「安全なウェブサイトの作り方(*6)」や「IPA セキュア・プログラミング
講座(*7)」などを公開しています。
CWE-119 :バッファエラー
CWE-200 :情報漏えい
CWE-264 :認可・権限・アクセス制御
CWE-79 :クロスサイト・スクリプティング
CWE-20 :不適切な入力確認
CWE-399 :リソース管理の問題
CWE-89 :SQLインジェクション
CWE-352 :クロスサイト・リクエスト・フォージェリ
CWE-22 :パス・トラバーサル
CWE-476 :NULL ポインタデリファレンス
250
200
件
数
150
100
50
234
187
160
149
109
66
53
23
21
19
0
CWE-119 CWE-200 CWE-264 CWE-79 CWE-20 CWE-399 CWE-89 CWE-352 CWE-22 CWE-476
図2-1. 2016年第4四半期に登録された脆弱性の種類別件数
(*6)
「安全なウェブサイトの作り方」 https://www.ipa.go.jp/security/vuln/websecurity.html
「IPA セキュア・プログラミング講座」 https://www.ipa.go.jp/security/awareness/vendor/programming/
(*7)
2-2. 脆弱性に関する深刻度別割合
図 2-2 は JVN iPedia に登録済みの脆弱性対策情報を CVSSv2 の値に基づいて深刻度別に分類し、
公表年別にその推移を示したものです。
2016 年 1 月 1 日から 2016 年 12 月 31 日までに JVN iPedia に登録した脆弱性対策情報は深刻度
別に、レベルⅢが全体の 38.3%、レベルⅡが 51.8%、レベルⅠが 9.9%となっており、情報の漏えい
や改ざんされるような高い脅威であるレベルⅡ以上が、90.1%を占めています。
既知の脆弱性による脅威を回避するため、製品利用者は脆弱性が解消されている製品へのバージョ
ンアップやアップデートなどを速やかに行ってください。
なお、JVN iPedia では、CVSSv2 によるこれまでの評価方法に加えて、2015 年 12 月 1 日より
CVSSv3(*8)による評価方法も試行運用しています。
10,000
9,000
8,000
7,000
件
数
レベルⅢ(危険、CVSS基本値=7.0~10.0)
レベルⅡ(警告、CVSS基本値=4.0~6.9)
レベルⅠ(注意、CVSS基本値=0.0~3.9)
6,598
6,489
6,463
5,721
6,000
7,312
5,695
5,461
4,744
5,000
5,869
5,680
4,483
38.3%
4,000
3,000
51.8%
2,000
1,000
9.9%
0
~2006
2007
2008
2009
2010
2011
2012
2013
2014
2015
2016
図2-2. 脆弱性の深刻度別件数
(*8)
CVSSv3:脆弱性の深刻度を評価するための指標。仮想化やサンドボックス化などが進んできていることから、利用状況の変化
を取り込んだ仕様
https://www.ipa.go.jp/security/vuln/CVSSv3.html
2-3. 脆弱性対策情報を公表した製品の種類別件数
図 2-3 は JVN iPedia に登録済みの脆弱性対策情報を、ソフトウェア製品の種類別に件数を集計し、
年次でその推移を示したものです。最も多いのはアプリケーションに関する脆弱性対策情報で、
2016 年の件数全件の 72.4%を占めています。
10,000
9,000
8,000
7,000
件 6,000
数 5,000
4,000
3,000
2,000
1,000
0
産業用制御システム
組込みソフトウェア
アプリケーション
OS
6,618
7,323
6,465
5,726
5,697
5,468
4,760
6,494
5,875
5,684
4,508
2.7%
1.2%
72.4%
23.7%
~2006
2007
2008
2009
2010
2011
2012
2013
2014
2015
2016
図2-3. 脆弱性対策情報を公表した製品の種類別件数の公開年別推移
また 2007 年以降、重要インフラなどで利用される、産業用制御システムに関する脆弱性対策情報
を登録しています。これまでに累計で 945 件が登録しています(図 2-4)
。
240
200
件
数
160
191
120
178
80
140
156
2015年
2016年
94
40
0
145
1
8
10
2007年
2008年
2009年
22
2010年
2011年
2012年
2013年
2014年
図2-4. JVN iPedia 登録件数(産業用制御システムのみ抽出)
2-4. 脆弱性対策情報の製品別登録状況
表 2-4 は 2016 年第 4 四半期(10 月~12 月)に JVN iPedia へ脆弱性対策情報の登録が多かった
製品の上位 20 件を示したものであり、1 位の Android の登録件数は 129 件でした。Android の他に
は Microsoft Windows10 などのマイクロソフト製品に関する脆弱性対策情報も多数ランクインして
おり、その登録件数の合計は 418 件です。
JVN iPedia は、表にある OS 製品やブラウザ製品などの脆弱性対策情報だけではなく、国内の企業
や家庭で使われているソフトウェアに関する脆弱性対策情報を網羅的に登録しています。製品の利用
者や開発者は、自組織などで使用しているソフトウェアの脆弱性対策情報を迅速に入手し、効率的な
対策に役立ててください(*9)。
表 2-4. 製品別 JVN iPedia の脆弱性対策情報登録件数
順位
カテゴリ
1
OS
2
PDF 閲覧
製品名(ベンダー)
Android(Google)
Adobe Reader(アドビシステムズ)
登録件数
129
75
2
PDF 閲覧・編集 Adobe Acrobat(アドビシステムズ)
75
2
PDF 閲覧・編集 Adobe Acrobat DC(アドビシステムズ)
75
2
PDF 閲覧
6
Adobe Acrobat Reader DC(アドビシステムズ)
75
OS
Microsoft Windows 10(マイクロソフト)
60
7
OS
Microsoft Windows 8.1(マイクロソフト)
51
8
OS
Microsoft Windows Server 2012(マイクロソフト)
49
9
スクリプト言語 phpMyAdmin(The phpMyAdmin Project)
48
10
OS
Microsoft Windows 7(マイクロソフト)
46
11
OS
Microsoft Windows RT 8.1(マイクロソフト)
44
11
OS
Microsoft Windows Server 2008(マイクロソフト)
44
11
OS
Microsoft Windows Vista(マイクロソフト)
44
14
ブラウザ
Microsoft Windows Edge(マイクロソフト)
41
15
動画再生ソフト Adobe Flash Player(アドビシステムズ)
40
16
OS
Microsoft Windows Server 2016(マイクロソフト)
39
17
OS
Linux Kernel(kernel.org)
38
18
(*9)
上位 20 件 [2016 年 10 月~2016 年 12 月]
エミュレーター QEMU(Fabrice Bellard)
19
ブラウザ
20
ミドルウェア
36
W3m(w3m project)
31
MySQL(オラクル)
29
脆弱性情報の収集や集めた情報の活用方法についての手引きをまとめたレポート
「脆弱性対策の効果的な進め方(実践編)」を公開。
https://www.ipa.go.jp/security/technicalwatch/20150331.html
3. 脆弱性対策情報の活用状況
表 3-1 は 2016 年第 4 四半期(10 月~12 月)にアクセスの多かった JVN iPedia の脆弱性対策情
報の上位 20 件を示したものです。
1 位は Flexera InstallShield に関する脆弱性で、インストーラを開発するためのソフトウェアの脆
弱性が注目を浴びました。2 位は Linux カーネルの脆弱性で、「Dirty COW」という呼称で注目され
ました。また、SetucoCMS の脆弱性がニュースサイト等で紹介されたこともあり、多数ランクイン
(7 位、9 位、10 位、11 位、12 位、15 位)しています。当該製品は開発及びサポートが終了して
おり、脆弱性の影響を受けないためには使用を停止する必要があります。
表 3-1.JVN iPedia の脆弱性対策情報へのアクセス
上位 20 件 [2016 年 10 月~2016 年 12 月]
順位
ID
タイトル
CVSSv2
基本値
公開日
アクセス数
1
JVNDB-2016-001684
Flexera InstallShield における権限を取得され
る脆弱性
7.2
2016/3/14
6176
7.2
2016/10/25
5723
Linux カーネルのメモリサブシステムに実装さ
2
JVNDB-2016-005596 れている copy-on-write 機構に競合状態が発生
する脆弱性
3
JVNDB-2016-000211
7-Zip for Windows のインストーラにおける任
意の DLL 読み込みに関する脆弱性
6.8
2016/10/26
4829
4
JVNDB-2016-000207
e-Tax ソフトのインストーラにおける DLL 読み
込みに関する脆弱性
6.8
2016/10/19
4713
5
JVNDB-2016-000202
Usermin におけるクロスサイトスクリプティン
グの脆弱性
2.6
2016/10/7
4443
6
TLS プロトコルなどの製品で使用される DES
JVNDB-2016-004511 および Triple DES 暗号における平文のデータ
を取得される脆弱性
5.0
2016/9/2
4386
7
JVNDB-2016-000196
SetucoCMS におけるクロスサイトリクエスト
フォージェリの脆弱性
4.0
2016/10/7
4236
8
JVNDB-2016-000195
Cryptography API: Next Generation (CNG) に
おけるサービス運用妨害 (DoS) の脆弱性
4.3
2016/10/7
4235
9
JVNDB-2016-000200
SetucoCMS におけるコードインジェクション
の脆弱性
6.5
2016/10/7
4232
10
JVNDB-2016-000201
SetucoCMS におけるセッション管理不備の脆
弱性
4.0
2016/10/7
4180
11
JVNDB-2016-000197
SetucoCMS におけるクロスサイトスクリプテ
ィングの脆弱性
4.3
2016/10/7
4174
12
JVNDB-2016-000198
SetucoCMS における SQL インジェクション
の脆弱性
6.5
2016/10/7
4076
13
JVNDB-2016-000215 WFS-SR01 におけるアクセス制限不備の脆弱性
7.5
2016/11/2
4065
14
JVNDB-2016-000214
WFS-SR01 において任意のコマンドを実行され
る脆弱性
7.5
2016/11/2
4042
順位
ID
タイトル
CVSSv2
基本値
公開日
アクセス数
15
JVNDB-2016-000199
SetucoCMS におけるサービス運用妨害 (DoS)
の脆弱性
5.0
2016/10/7
3994
16
Windows 版 公的個人認証サービス 利用者ク
JVNDB-2016-000212 ライアントソフトのインストーラにおける DLL
読み込みに関する脆弱性
6.8
2016/11/1
3965
17
JVNDB-2016-000192
6.8
2016/10/3
3887
18
JVNDB-2016-000193
サイボウズ Office における意図しないファイ
ルをダウンロードさせられる脆弱性
3.5
2016/10/3
3677
19
JVNDB-2016-000210
WordPress 用プラグイン WP-OliveCart にお
ける SQL インジェクションの脆弱性
6.5
2016/10/20
3649
20
JVNDB-2016-000168 FlashAir におけるアクセス制限不備の脆弱性
5.4
2016/9/27
3550
サイボウズ Office におけるサービス運用妨害
(DoS) の脆弱性
表 3-2 は国内の製品開発者から収集した脆弱性対策情報でアクセスの多かった上位 5 件を示してい
ます。対象製品を利用している場合、システム管理者は、ベンダが提供する対策パッチなどを早期に
自システムに適用し、攻撃による被害を未然に防ぐことが重要です。
表 3-2.国内の製品開発者から収集した脆弱性対策情報へのアクセス 上位 5 件 [2016 年 10 月~2016 年 12 月]
順位
ID
タイトル
CVSSv2
基本値
公開日
アクセス数
1
JVNDB-2016-005655
JP1/IT Desktop Management 2 - Manager お
よび JP1/NETM/DM における脆弱性
10.0
2016/11/1
3434
2
Hitachi Automation Director お よ び
JVNDB-2016-004496 JP1/Automatic Operation における情報露出
の脆弱性
3.5
2016/9/2
1135
3
Hitachi Web Server の SSL および TLS プロ
JVNDB-2011-001632 トコルにおける任意のデータが挿入される脆弱
性
4.3
2011/5/26
241
4
Apache の mod_autoindex.c に お け る
JVNDB-2007-001022 UTF-7 エンコードに関するクロスサイトスク
リプティングの脆弱性
4.3
2007/12/25
221
5
Hitachi Web Server の RequestHeader ディ
JVNDB-2011-001633 レクティブによるヘッダカスタマイズにおける
破棄したメモリ内のデータが参照される脆弱性
5.1
2011/5/26
198
注 1)CVSSv2 基本値の深刻度による色分け
CVSS 基本値=0.0~3.9
CVSS 基本値=4.0~6.9
CVSS 基本値=7.0~10.0
深刻度=レベル I(注意)
深刻度=レベル II(警告)
深刻度=レベル III(危険)
注 2)公開日の年による色分け
2014 年以前の公開
2015 年の公開
2016 年の公開