脆弱性対策情報データベース JVN iPedia に関する 活動報告レポート [2016 年第 4 四半期(10 月~12 月)] 脆弱性対策情報データベース JVN iPedia に関する活動報告レポートについて 本レポートでは、 2016 年 10 月 1 日から 2016 年 12 月 31 日までの間に JVN iPedia で登録をした脆弱性対策情報の統計及び事例について紹介しています。 独立行政法人情報処理推進機構 技術本部 セキュリティセンター 2017 年 1 月 24 日 目次 1. 2016 年第 4 四半期 脆弱性対策情報データベース JVN iPedia の登録状況 .............................. - 2 1-1. 脆弱性対策情報の登録状況 ................................................................................................... - 2 1-2. 【注目情報 1】2016 年 年間の注意喚起/緊急対策情報から分かる脆弱性の深刻度につい て.................................................................................................................................................... - 3 1-3. 【注目情報 2】2016 年 年間の Android OS の脆弱性対策情報の登録件数について ........ - 5 2. JVN iPedia の登録データ分類 ....................................................................................................... - 6 2-1. 脆弱性の種類別件数 .............................................................................................................. - 6 2-2. 脆弱性に関する深刻度別割合 ................................................................................................ - 7 2-3. 脆弱性対策情報を公表した製品の種類別件数 ...................................................................... - 8 2-4. 脆弱性対策情報の製品別登録状況 ........................................................................................ - 9 3. 脆弱性対策情報の活用状況 ........................................................................................................ - 10 - 1. 2016 年第 4 四半期 脆弱性対策情報データベース JVN iPedia の登録状況 脆弱性対策情報データベース「JVN iPedia( http://jvndb.jvn.jp/ )」は、ソフトウェア製品に関 する脆弱性対策情報を 2007 年 4 月 25 日から日本語で公開しています。システム管理者が迅速に脆 弱性対策を行えるよう、1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情 報ポータルサイト JVN(*1)で公表した脆弱性対策情報、3)米国国立標準技術研究所 NIST(*2)の脆弱 性データベース「NVD(*3)」が公開した脆弱性対策情報を集約、翻訳しています。 1-1. 脆弱性対策情報の登録状況 表 1-1. 2016 年第 4 四半期の登録件数 ~脆弱性対策情報の登録件数の累計は 64,618 件~ 情報の収集元 2016 年第 4 四半期(2016 年 10 月 1 日から 12 月 31 日まで)に JVN iPedia 日本語版へ登録した脆 弱性対策情報は右表の通りとなり、脆弱性対策情報 の登録件数の累計は、64,618 件でした(表 1-1、図 1-1) 。 JVN iPedia 英語版へ登録した脆弱性対策情報も右 表の通り、累計で 1,588 件になりました。 3,000 2,000 四 半 期 件 1,000 数 国内製品開発者から収集したもの JVNから収集したもの NVDから収集したもの 累計件数(右目盛り) 56,475 日 本 語 版 国内製品開発者 JVN NVD 計 英 語 版 国内製品開発者 JVN 計 登録件数 累計件数 1件 179 件 117 件 6,893 件 1,453 件 57,546 件 1,571 件 64,618 件 1件 179 件 71 件 1,409 件 72 件 1,588 件 80,000 59,547 61,309 63,047 64,618 70,000 60,000 58,094 50,000 30,000 件 20,000 10,000 0 2007/4/25 公開開始 0 3Q 2015 4Q 2015 1Q 2016 2Q 2016 3Q 2016 4Q 2016 図1-1. JVN iPediaの登録件数の四半期別推移 (*1) 累 40,000 計 Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリ ティ対策を支援しています。IPA、JPCERT/CC が共同で運営しています。 https://jvn.jp/ (*2) National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する 研究を行う機関。 http://www.nist.gov/ (*3) National Vulnerability Database。NIST が運営する脆弱性データベース。http://nvd.nist.gov/home.cfm 数 1-2. 【注目情報 1】2016 年 年間の注意喚起/緊急対策情報から分かる脆弱性の 深刻度について ~深刻度「危険」の脆弱性対策情報は、Adobe Flash Player 95.7%、Adobe Reader 83.3%~ 2016 年も広く世間で利用されている製品について、攻撃に悪用された脆弱性や深刻度の高い危険 な脆弱性が公開されました。例えば、2016 年の第 4 四半期だけでも、10 月には Adobe Reader や Oracle JRE について、リスクの高い脆弱性(CVE-2016-1089、CVE-2016-5556 等)が公開されま した。この脆弱性が悪用されるとコンピュータを乗っ取られる可能性等がありました。また、12 月 には Adobe Flash Player について、ゼロデイ攻撃に悪用された脆弱性(CVE-2016-7892)が公開さ れました。 IPA では、これらのように深刻度が高い脆弱性が公開された際に、注意喚起/緊急対策情報の発信 を行っています。2016 年は合計 51 件の発信を行い、その内、上述の Adobe Flash Player は 15 件、 Adobe Reader は 5 件、Oracle JRE は 5 件と全体の約半数を占めました。そこで、これら注意喚起 /緊急対策情報の発信件数が多い 3 製品の脆弱性対策情報の登録状況について見ていきます。 図 1-2-1 および図 1-2-2、図 1-2-3 は、それぞれ 2016 年の Adobe Flash Player、Adobe Reader、 Oracle JRE の脆弱性の深刻度別件数とその割合を示したものです。レベルⅢ(深刻度:危険)の占め る割合は Adobe Flash Player では 95.7%と 100%に迫るほどであり、Adobe Reader でも 8 割を超 えています。 また、 図 1-2-4 は Adobe Reader の脆弱性対策情報の登録件数及び深刻度別件数の 2012 年から 2016 年までの 5 年間の推移です。 登録された脆弱性の件数が 2016 年は顕著に多く、前年の約 1.7 倍でした。深刻度が「危険」とさ れる脆弱性の登録件数も増加傾向で、その割合は 83%でした。 公表された脆弱性に対し、最新のパッチを適用せずに、脆弱性を放置したまま製品を使用し続ける と、脆弱性を悪用した攻撃による被害を受ける可能性が高くなります。Adobe Flash Player、Adobe Reader、Oracle JRE の利用者は、最新のパッチがベンダから公開されているか常に確認し、アップ デート情報が公開された場合には、すみやかに最新のパッチを適用するなど、日々の脆弱性対策を実 施してください。なお、IPA では、脆弱性対策の確実な実施と促進のために、組織のシステム管理者 向けに、サイバーセキュリティ注意喚起サービス「icat(*4)」というツールを提供しています。この ツールでは IPA が注意喚起/緊急対策情報の発信を行った、深刻度が高い脆弱性対策情報をリアルタ イムに配信しています。 また、組織の従業員・職員や、主婦・学生といった家庭で PC を利用している一般ユーザ向けに、 「MyJVN バージョンチェッカ(*5)」を提供しています。このツールを使えば、PC にインストールし ているソフトウェア製品のバージョンが最新であるかを確認することができます。日々の脆弱性対策 の一環として、本ツールの活用をおすすめします。 (*4) 「icat」https://www.ipa.go.jp/security/vuln/icat.html 一般組織と官公庁・学術機関を含め、約 1,100 サイトで利用されている(2016 年 12 月時点)。 (*5) 「MyJVN バージョンチェッカ」http://jvndb.jvn.jp/apis/myjvn/ 1-3. 【注目情報 2】2016 年 年間の Android OS の脆弱性対策情報の登録件数に ついて ~2016 年の Android OS の脆弱性対策情報の登録件数は 508 件で、前年の 4.5 倍に~ 2016 年 10 月に、Linux カーネルの Dirty COW(CVE-2016-5195)と呼ばれる脆弱性が公表され ました。Android OS(以降、Android)には Linux が利用されているため、本脆弱性は Android の 全バージョンに影響する可能性があり(2016 年 11 月時点で最新バージョンであった Android 7.0 Nougat を含む)、加えて、この脆弱性に対する攻撃コードも多数公開されていました。2016 年は Android に関する脆弱性はこの他にも多数公開されています。そこで、Android の脆弱性対策情報の 登録状況について見ていきます。 図 1-3-1 は、Android の脆弱性対策情報の登録件数及び深刻度別件数の 2012 年から 2016 年ま での 5 年間の推移を示しています。また図 1-3-2 は 2016 年の 1 年間に登録された Android の脆弱 性の深刻度の件数とその割合を示しています。 図 1-3-1 では、2016 年の Android の脆弱性対策情報登録件数が、2015 年の登録件数の 4.5 倍に なっています。また図 1-3-2 では、脆弱性の深刻度が「危険」と位置付けられる脆弱性の割合は 65.9% であり、被害を受けた場合の影響が大きい脆弱性が存在していることが分かります。 普段何気なく利用しているスマートフォンやタブレット端末にも脆弱性が存在していることを認 識し、利用者は、最新のパッチが公開された場合には、すみやかにアップデートを実施する必要があ ります。 2. JVN iPedia の登録データ分類 2-1. 脆弱性の種類別件数 図 2-1 は、2016 年第 4 四半期(10 月~12 月)に JVN iPedia へ登録した脆弱性対策情報を、共 通脆弱性タイプ一覧(CWE)によって分類し、件数を集計したものです。 集計結果は件数が多い順に、CWE-119(バッファエラー)が 234 件、CWE-200(情報漏えい) が 187 件、CWE-264(認可・権限・アクセス制御不備)が 160 件、CWE-79(クロスサイト・スク リプティング)が 149 件、CWE-20(不適切な入力確認)が 109 件でした。最も件数の多かった CWE-119(バッファエラー)は、悪用されるとサーバや PC 上で悪意のあるコードが実行され、デ ータを盗み見られたり、改ざんされる、などの被害が発生する可能性があります。 製品開発者は、ソフトウェアの企画・設計段階から、脆弱性の低減に努めることが求められます。 なお、IPA ではそのための資料やツールとして、開発者や運営者がセキュリティを考慮したウェブサ イトを作成するための資料「安全なウェブサイトの作り方(*6)」や「IPA セキュア・プログラミング 講座(*7)」などを公開しています。 CWE-119 :バッファエラー CWE-200 :情報漏えい CWE-264 :認可・権限・アクセス制御 CWE-79 :クロスサイト・スクリプティング CWE-20 :不適切な入力確認 CWE-399 :リソース管理の問題 CWE-89 :SQLインジェクション CWE-352 :クロスサイト・リクエスト・フォージェリ CWE-22 :パス・トラバーサル CWE-476 :NULL ポインタデリファレンス 250 200 件 数 150 100 50 234 187 160 149 109 66 53 23 21 19 0 CWE-119 CWE-200 CWE-264 CWE-79 CWE-20 CWE-399 CWE-89 CWE-352 CWE-22 CWE-476 図2-1. 2016年第4四半期に登録された脆弱性の種類別件数 (*6) 「安全なウェブサイトの作り方」 https://www.ipa.go.jp/security/vuln/websecurity.html 「IPA セキュア・プログラミング講座」 https://www.ipa.go.jp/security/awareness/vendor/programming/ (*7) 2-2. 脆弱性に関する深刻度別割合 図 2-2 は JVN iPedia に登録済みの脆弱性対策情報を CVSSv2 の値に基づいて深刻度別に分類し、 公表年別にその推移を示したものです。 2016 年 1 月 1 日から 2016 年 12 月 31 日までに JVN iPedia に登録した脆弱性対策情報は深刻度 別に、レベルⅢが全体の 38.3%、レベルⅡが 51.8%、レベルⅠが 9.9%となっており、情報の漏えい や改ざんされるような高い脅威であるレベルⅡ以上が、90.1%を占めています。 既知の脆弱性による脅威を回避するため、製品利用者は脆弱性が解消されている製品へのバージョ ンアップやアップデートなどを速やかに行ってください。 なお、JVN iPedia では、CVSSv2 によるこれまでの評価方法に加えて、2015 年 12 月 1 日より CVSSv3(*8)による評価方法も試行運用しています。 10,000 9,000 8,000 7,000 件 数 レベルⅢ(危険、CVSS基本値=7.0~10.0) レベルⅡ(警告、CVSS基本値=4.0~6.9) レベルⅠ(注意、CVSS基本値=0.0~3.9) 6,598 6,489 6,463 5,721 6,000 7,312 5,695 5,461 4,744 5,000 5,869 5,680 4,483 38.3% 4,000 3,000 51.8% 2,000 1,000 9.9% 0 ~2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 図2-2. 脆弱性の深刻度別件数 (*8) CVSSv3:脆弱性の深刻度を評価するための指標。仮想化やサンドボックス化などが進んできていることから、利用状況の変化 を取り込んだ仕様 https://www.ipa.go.jp/security/vuln/CVSSv3.html 2-3. 脆弱性対策情報を公表した製品の種類別件数 図 2-3 は JVN iPedia に登録済みの脆弱性対策情報を、ソフトウェア製品の種類別に件数を集計し、 年次でその推移を示したものです。最も多いのはアプリケーションに関する脆弱性対策情報で、 2016 年の件数全件の 72.4%を占めています。 10,000 9,000 8,000 7,000 件 6,000 数 5,000 4,000 3,000 2,000 1,000 0 産業用制御システム 組込みソフトウェア アプリケーション OS 6,618 7,323 6,465 5,726 5,697 5,468 4,760 6,494 5,875 5,684 4,508 2.7% 1.2% 72.4% 23.7% ~2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 図2-3. 脆弱性対策情報を公表した製品の種類別件数の公開年別推移 また 2007 年以降、重要インフラなどで利用される、産業用制御システムに関する脆弱性対策情報 を登録しています。これまでに累計で 945 件が登録しています(図 2-4) 。 240 200 件 数 160 191 120 178 80 140 156 2015年 2016年 94 40 0 145 1 8 10 2007年 2008年 2009年 22 2010年 2011年 2012年 2013年 2014年 図2-4. JVN iPedia 登録件数(産業用制御システムのみ抽出) 2-4. 脆弱性対策情報の製品別登録状況 表 2-4 は 2016 年第 4 四半期(10 月~12 月)に JVN iPedia へ脆弱性対策情報の登録が多かった 製品の上位 20 件を示したものであり、1 位の Android の登録件数は 129 件でした。Android の他に は Microsoft Windows10 などのマイクロソフト製品に関する脆弱性対策情報も多数ランクインして おり、その登録件数の合計は 418 件です。 JVN iPedia は、表にある OS 製品やブラウザ製品などの脆弱性対策情報だけではなく、国内の企業 や家庭で使われているソフトウェアに関する脆弱性対策情報を網羅的に登録しています。製品の利用 者や開発者は、自組織などで使用しているソフトウェアの脆弱性対策情報を迅速に入手し、効率的な 対策に役立ててください(*9)。 表 2-4. 製品別 JVN iPedia の脆弱性対策情報登録件数 順位 カテゴリ 1 OS 2 PDF 閲覧 製品名(ベンダー) Android(Google) Adobe Reader(アドビシステムズ) 登録件数 129 75 2 PDF 閲覧・編集 Adobe Acrobat(アドビシステムズ) 75 2 PDF 閲覧・編集 Adobe Acrobat DC(アドビシステムズ) 75 2 PDF 閲覧 6 Adobe Acrobat Reader DC(アドビシステムズ) 75 OS Microsoft Windows 10(マイクロソフト) 60 7 OS Microsoft Windows 8.1(マイクロソフト) 51 8 OS Microsoft Windows Server 2012(マイクロソフト) 49 9 スクリプト言語 phpMyAdmin(The phpMyAdmin Project) 48 10 OS Microsoft Windows 7(マイクロソフト) 46 11 OS Microsoft Windows RT 8.1(マイクロソフト) 44 11 OS Microsoft Windows Server 2008(マイクロソフト) 44 11 OS Microsoft Windows Vista(マイクロソフト) 44 14 ブラウザ Microsoft Windows Edge(マイクロソフト) 41 15 動画再生ソフト Adobe Flash Player(アドビシステムズ) 40 16 OS Microsoft Windows Server 2016(マイクロソフト) 39 17 OS Linux Kernel(kernel.org) 38 18 (*9) 上位 20 件 [2016 年 10 月~2016 年 12 月] エミュレーター QEMU(Fabrice Bellard) 19 ブラウザ 20 ミドルウェア 36 W3m(w3m project) 31 MySQL(オラクル) 29 脆弱性情報の収集や集めた情報の活用方法についての手引きをまとめたレポート 「脆弱性対策の効果的な進め方(実践編)」を公開。 https://www.ipa.go.jp/security/technicalwatch/20150331.html 3. 脆弱性対策情報の活用状況 表 3-1 は 2016 年第 4 四半期(10 月~12 月)にアクセスの多かった JVN iPedia の脆弱性対策情 報の上位 20 件を示したものです。 1 位は Flexera InstallShield に関する脆弱性で、インストーラを開発するためのソフトウェアの脆 弱性が注目を浴びました。2 位は Linux カーネルの脆弱性で、「Dirty COW」という呼称で注目され ました。また、SetucoCMS の脆弱性がニュースサイト等で紹介されたこともあり、多数ランクイン (7 位、9 位、10 位、11 位、12 位、15 位)しています。当該製品は開発及びサポートが終了して おり、脆弱性の影響を受けないためには使用を停止する必要があります。 表 3-1.JVN iPedia の脆弱性対策情報へのアクセス 上位 20 件 [2016 年 10 月~2016 年 12 月] 順位 ID タイトル CVSSv2 基本値 公開日 アクセス数 1 JVNDB-2016-001684 Flexera InstallShield における権限を取得され る脆弱性 7.2 2016/3/14 6176 7.2 2016/10/25 5723 Linux カーネルのメモリサブシステムに実装さ 2 JVNDB-2016-005596 れている copy-on-write 機構に競合状態が発生 する脆弱性 3 JVNDB-2016-000211 7-Zip for Windows のインストーラにおける任 意の DLL 読み込みに関する脆弱性 6.8 2016/10/26 4829 4 JVNDB-2016-000207 e-Tax ソフトのインストーラにおける DLL 読み 込みに関する脆弱性 6.8 2016/10/19 4713 5 JVNDB-2016-000202 Usermin におけるクロスサイトスクリプティン グの脆弱性 2.6 2016/10/7 4443 6 TLS プロトコルなどの製品で使用される DES JVNDB-2016-004511 および Triple DES 暗号における平文のデータ を取得される脆弱性 5.0 2016/9/2 4386 7 JVNDB-2016-000196 SetucoCMS におけるクロスサイトリクエスト フォージェリの脆弱性 4.0 2016/10/7 4236 8 JVNDB-2016-000195 Cryptography API: Next Generation (CNG) に おけるサービス運用妨害 (DoS) の脆弱性 4.3 2016/10/7 4235 9 JVNDB-2016-000200 SetucoCMS におけるコードインジェクション の脆弱性 6.5 2016/10/7 4232 10 JVNDB-2016-000201 SetucoCMS におけるセッション管理不備の脆 弱性 4.0 2016/10/7 4180 11 JVNDB-2016-000197 SetucoCMS におけるクロスサイトスクリプテ ィングの脆弱性 4.3 2016/10/7 4174 12 JVNDB-2016-000198 SetucoCMS における SQL インジェクション の脆弱性 6.5 2016/10/7 4076 13 JVNDB-2016-000215 WFS-SR01 におけるアクセス制限不備の脆弱性 7.5 2016/11/2 4065 14 JVNDB-2016-000214 WFS-SR01 において任意のコマンドを実行され る脆弱性 7.5 2016/11/2 4042 順位 ID タイトル CVSSv2 基本値 公開日 アクセス数 15 JVNDB-2016-000199 SetucoCMS におけるサービス運用妨害 (DoS) の脆弱性 5.0 2016/10/7 3994 16 Windows 版 公的個人認証サービス 利用者ク JVNDB-2016-000212 ライアントソフトのインストーラにおける DLL 読み込みに関する脆弱性 6.8 2016/11/1 3965 17 JVNDB-2016-000192 6.8 2016/10/3 3887 18 JVNDB-2016-000193 サイボウズ Office における意図しないファイ ルをダウンロードさせられる脆弱性 3.5 2016/10/3 3677 19 JVNDB-2016-000210 WordPress 用プラグイン WP-OliveCart にお ける SQL インジェクションの脆弱性 6.5 2016/10/20 3649 20 JVNDB-2016-000168 FlashAir におけるアクセス制限不備の脆弱性 5.4 2016/9/27 3550 サイボウズ Office におけるサービス運用妨害 (DoS) の脆弱性 表 3-2 は国内の製品開発者から収集した脆弱性対策情報でアクセスの多かった上位 5 件を示してい ます。対象製品を利用している場合、システム管理者は、ベンダが提供する対策パッチなどを早期に 自システムに適用し、攻撃による被害を未然に防ぐことが重要です。 表 3-2.国内の製品開発者から収集した脆弱性対策情報へのアクセス 上位 5 件 [2016 年 10 月~2016 年 12 月] 順位 ID タイトル CVSSv2 基本値 公開日 アクセス数 1 JVNDB-2016-005655 JP1/IT Desktop Management 2 - Manager お よび JP1/NETM/DM における脆弱性 10.0 2016/11/1 3434 2 Hitachi Automation Director お よ び JVNDB-2016-004496 JP1/Automatic Operation における情報露出 の脆弱性 3.5 2016/9/2 1135 3 Hitachi Web Server の SSL および TLS プロ JVNDB-2011-001632 トコルにおける任意のデータが挿入される脆弱 性 4.3 2011/5/26 241 4 Apache の mod_autoindex.c に お け る JVNDB-2007-001022 UTF-7 エンコードに関するクロスサイトスク リプティングの脆弱性 4.3 2007/12/25 221 5 Hitachi Web Server の RequestHeader ディ JVNDB-2011-001633 レクティブによるヘッダカスタマイズにおける 破棄したメモリ内のデータが参照される脆弱性 5.1 2011/5/26 198 注 1)CVSSv2 基本値の深刻度による色分け CVSS 基本値=0.0~3.9 CVSS 基本値=4.0~6.9 CVSS 基本値=7.0~10.0 深刻度=レベル I(注意) 深刻度=レベル II(警告) 深刻度=レベル III(危険) 注 2)公開日の年による色分け 2014 年以前の公開 2015 年の公開 2016 年の公開
© Copyright 2024 ExpyDoc