脆弱性対策情報データベース JVN iPedia に関する 活動報告レポート [2015 年第 4 四半期(10 月~12 月)] 脆弱性対策情報データベース JVN iPedia に関する活動報告レポートについて 本レポートでは、 2015 年 10 月 1 日から 2015 年 12 月 31 日までの間に JVN iPedia で登録をした脆弱性対策情報の統計及び事例について紹介しています。 独立行政法人情報処理推進機構 技術本部 セキュリティセンター 2016 年 1 月 28 日 目次 1. 2015 年第 4 四半期 脆弱性対策情報データベース JVN iPedia の登録状況 .............................. - 2 1-1. 脆弱性対策情報の登録状況 ................................................................................................... - 2 1-2. 【注目情報 1】ランサムウェアで悪用される製品の脆弱性について .................................. - 3 1-3. 【注目情報 2】Windows SQL Server 2005 の公式サポート終了について ........................ - 4 2. JVN iPedia の登録データ分類 ....................................................................................................... - 5 2-1. 脆弱性の種類別件数 .............................................................................................................. - 5 2-2. 脆弱性に関する深刻度別割合 ................................................................................................ - 6 2-3. 脆弱性対策情報を公表した製品の種類別件数 ...................................................................... - 6 2-4. 脆弱性対策情報の製品別登録状況 ........................................................................................ - 8 3. 脆弱性対策情報の活用状況 .......................................................................................................... - 9 - 1. 2015 年第 4 四半期 脆弱性対策情報データベース JVN iPedia の登録状況 脆弱性対策情報データベース「JVN iPedia( http://jvndb.jvn.jp/ )」は、ソフトウェア製品に関 する脆弱性対策情報を 2007 年 4 月 25 日から日本語で公開しているものです。システム管理者が迅 速に脆弱性対策を行えるよう、1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性 対策情報ポータルサイト JVN(*1)で公表した脆弱性対策情報、3)米国国立標準技術研究所 NIST(*2) の脆弱性データベース「NVD(*3)」が公開した脆弱性対策情報を集約、翻訳しています。 1-1. 脆弱性対策情報の登録状況 表 1-1. 2015 年第 4 四半期の登録件数 ~脆弱性対策情報の登録件数の累計は 58,094 件~ 情報の収集元 2015 年第 4 四半期(2015 年 10 月 1 日から 12 月 31 日まで)に JVN iPedia 日本語版へ登録した脆 弱性対策情報は右表の通りとなり、脆弱性対策情報 の登録件数の累計は、58,094 件でした(表 1-1、図 1-1) 。 JVN iPedia 英語版へ登録した脆弱性対策情報も右 表の通り、累計で 1,337 件になりました。 5,000 4,000 四 3,000 半 期 2,000 件 数 1,000 国内製品開発者から収集したもの JVNから収集したもの NVDから収集したもの 累計件数(右目盛り) 48,427 日 本 語 版 国内製品開発者 JVN NVD 計 英 語 版 国内製品開発者 JVN 計 登録件数 4件 172 件 355 件 6,077 件 1,260 件 51,845 件 1,619 件 58,094 件 4件 172 件 52 件 1,165 件 56 件 1,337 件 70,000 54,714 53,235 56,475 58,094 60,000 50,000 51,499 40,000 累 計 30,000 件 20,000 数 10,000 0 2007/4/25 公開開始 累計件数 0 3Q 2014 4Q 2014 1Q 2015 2Q 2015 3Q 2015 4Q 2015 図1-1. JVN iPediaの登録件数の四半期別推移 (*1) Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリ ティ対策を支援しています。IPA、JPCERT/CC が共同で運営しています。 https://jvn.jp/ (*2) National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する 研究を行う機関。 http://www.nist.gov/ (*3) National Vulnerability Database。NIST が運営する脆弱性データベース。http://nvd.nist.gov/home.cfm 2 1-2. 【注目情報 1】ランサムウェアで悪用される製品の脆弱性について ~悪用された脆弱性は広く普及している製品の旧バージョン、ソフトウェアの最新化が重要~ IPA では 2016 年 1 月にランサムウェアに対する注意を呼びかけました(*4)。これはメールの添付 ファイルを開いたり、ウェブサイトを閲覧したりすることで感染するランサムウェアに関する IPA へ の相談が、2015 年 4 月以降相次いだことを受けてのものです。 JPCERT/CC の注意喚起(*5)やセキュリティブログの情報(*6)(*7)によると、Microsoft 製品の脆弱 性や Adobe Flash Player の脆弱性が攻撃に利用されていると報告されており、これらの脆弱性対策 情報は表 1-2 に示すように全て JVN iPedia で公開しているものでした。 表 1-2. JVN iPedia での公表日と攻撃確認日 No ID(CVE) タイトル JVNDB-2014-005401 複数の Microsoft 製品の OLE にお (CVE-2014-6332) ける任意のコードを実行される脆弱性 2 JVNDB-2015-001418 (CVE-2015-0313) Adobe Flash Player における任意の コードを実行される脆弱性 3 JVNDB-2015-005288 (CVE-2015-7645) Adobe Flash Player における任意の コードを実行される脆弱性 1 JVN iPedia 公表日 攻撃確認日 2014/11/11 2015/5/6 2015/2/5 2015/5/6 2015/10/14 2015/12/1 ランサムウェアで悪用された脆弱性の修正パッチや脆弱性対策情報は、いずれも攻撃が確認される よりも前に、既に提供されていました。利用者がアップデートを確実に実施していれば、感染被害を 免れることができたといえます。 一方、IPA が 2015 年 12 月 24 日に公開した「2015 年度情報セキュリティの脅威に対する意識調 査」(*8)によると、Adobe Flash Player の利用者のアップデート未実施の割合は、18.2%でした。ま た「Windows アップデート等のセキュリティパッチの更新」を実施していない割合は 55.9%でした。 さらに、アップデートしない理由に着目をすると「書かれている内容がわからない」といった回答 がセキュリティパッチ未更新者のうち 3 割以上を占めていました。 ソフトウェア利用者はバージョンを最新に保ち、自身が利用しているソフトウェアを最新の状態に 維持することが求められます。しかし前述の結果から、表示されるメッセージの意味がわからないこ とが理由で、セキュリティ対策を実施していないパソコン利用者が一定割合存在することがわかりま す。IPA では使用しているソフトウェアが最新であるかを確認するツール“MyJVN バージョンチェッ カ(*9)”を無償で公開しています。セキュリティソフトのほか、このツールの使用を推奨します。 (*4) ランサムウェア感染被害に備えて定期的なバックアップを https://www.ipa.go.jp/security/txt/2016/01outline.html ランサムウェア感染に関する注意喚起 https://www.jpcert.or.jp/at/2015/at150015.html (*6) 「vvv ウイルス」の正体とは? ランサムウェア「CrypTesla」の流入は限定的 http://blog.trendmicro.co.jp/archives/12632 (*7) 英有名ニュースサイトのブログからランサムウェア「CrypTesla」が拡散 http://blog.trendmicro.co.jp/archives/12649 (*8) 「2015 年度情報セキュリティに対する意識調査」報告書について https://www.ipa.go.jp/security/fy27/reports/ishiki/index.html P73、P75 (*9) 「MyJVN バージョンチェッカ」http://jvndb.jvn.jp/apis/myjvn/index.html (*5) 3 1-3. 【注目情報 2】Windows SQL Server 2005 の公式サポート終了について ~当該ソフトの脆弱性の 85%は最も深刻度の高い「レベルⅢ 危険」~ 日本マイクロソフトが提供している「Windows SQL Server 2005」の公式サポートが 2016 年 4 月 12 日に終了します。そのままサーバの使用を継続していると、脆弱性を悪用した攻撃が発生した 場合、修正プログラムが提供されないため、脆弱性を解消できず、ウイルス感染やシステムの乗っ取 りなど様々な被害を受ける可能性があります。 日本マイクロソフトによれば当該ソフトウェアは 2015 年 12 月 2 日時点でおよそ 12 万台が稼動 しており、このうち 7 万台は会計ソフトなどの業務パッケージソフトに Windows SQL Server 2005 が無償版として組み込まれ利用されています(*10)。業務パッケージソフトは組織内の人事や販売、 財務会計など業務管理に活用され、情報が集約されています。万が一に備え、安全な環境での運用が 求められます。 JVN iPedia にはこれまでに公開した Windows SQL Server 2005 に関する脆弱性対策情報が 20 件登録されています。このうち深刻度が最も高い「レベルⅢ 危険」と分類された脆弱性対策情報は 85%(17 件)で、JVN iPedia に登録された全ての脆弱性対策情報における「レベルⅢ 危険」の割 合 40.3%とは倍以上の開きがあります(図 1-3)。 レベルⅢ(危険、CVSS基本値=7.0~10.0) レベルⅡ(警告、CVSS基本値=4.0~6.9) レベルⅠ(注意、CVSS基本値=0.0~3.9) 3件 15.0% 19件, 3.2% 7.2% 238件, 39.9% 340件, 57.0% 40.3% 52.5% 17件 85.0% Windows SQL Server 2005 (~2015/12/31) 全体 (~2015/12/31) 図1-3. Windows SQL Server 2005とJVN iPedia全体の脆弱性 レベル別割合 システムの運用・管理者はサポートが終了する前に、移行計画を策定するなどして、対処してく ださい。 (*10) SQL Server 2005 サポート終了で移行支援策--継続利用にはセキュリティリスク http://japan.zdnet.com/article/35074408/ 4 2. JVN iPedia の登録データ分類 2-1. 脆弱性の種類別件数 図 2-1 のグラフは、2015 年第 4 四半期に JVN iPedia へ登録された脆弱性対策情報を、共通脆弱 性タイプ一覧別に分類し、件数を集計した示したものです。 集計結果は件数が多い順に、CWE-119(バッファエラー)が 355 件、CWE-264(認可・権限・ アクセス制御)が 179 件、CWE-200(情報漏えい)が 166 件、CWE-20(不適切な入力確認)が 106 件でした。最も件数の多かった CWE-119(バッファエラー)は、悪用されるとサーバや PC 上 で悪意のあるコードが実行され、データを盗み見られたり、改ざんされる、などの被害が発生する可 能性があります。この中には、マイクロソフトやアップルの OS やウェブブラウザなどの脆弱性対策 情報が 6 割以上を占めています。 製品開発者は、ソフトウェアの企画・設計段階から、セキュリティ対策を講じ、脆弱性の低減に努 めることが求められます。なお、IPA ではそのための資料やツールとして、開発者や運営者が適切な セキュリティを考慮したウェブサイトを作成するための資料「安全なウェブサイトの作り方(*11)」、 脆弱性の仕組みを実習形式や演習機能で学ぶことができる脆弱性体験学習ツール「AppGoat(*12)」、 Android アプリの開発者向けに脆弱性の学習・点検ツール「AnCoLe(*13)」を公開しています。 CWE-119 :バッファエラー CWE-264 :認可・権限・アクセス制御 CWE-200 :情報漏えい CWE-20 :不適切な入力確認 CWE-79 :クロスサイト・スクリプティング CWE-399 :リソース管理の問題 CWE-189 :数値処理の問題 CWE-89 :SQLインジェクション CWE-352 :クロスサイト・リクエスト・フォージェリ CWE-22 :パス・トラバーサル 400 350 300 250 件 200 数 150 100 50 355 179 166 106 100 0 56 43 29 29 25 CWE-119 CWE-264 CWE-200 CWE-20 CWE-79 CWE-399 CWE-189 CWE-89 CWE-352 CWE-22 図2-1. 2015年第4四半期に登録された脆弱性の種類別件数 (*11) 「安全なウェブサイトの作り方」 https://www.ipa.go.jp/security/vuln/websecurity.html 脆弱性体験学習ツール「AppGoat」 https://www.ipa.go.jp/security/vuln/appgoat/index.html (*13) Android アプリの脆弱性の学習・点検ツール「AnCoLe」 https://www.ipa.go.jp/security/vuln/ancole/index.html (*12) 5 2-2. 脆弱性に関する深刻度別割合 図 2-2 のグラフは JVN iPedia に登録済みの脆弱性対策情報を CVSSv2 の値を参考にその深刻度別 に分類し、公表年別にその推移を示したものです。 脆弱性対策情報の公開開始から 2015 年 12 月 31 日までに JVN iPedia に登録された脆弱性対策情 報は深刻度別に、レベルⅢが全体の 40.3%、レベルⅡが 52.5%、レベルⅠが 7.2%となっています。 これら既知の脆弱性の深刻度は全体の約 93%がサービス停止につながるような高い脅威である、 レベルⅡ以上となっています。既知の脆弱性による脅威を回避するため、製品利用者は脆弱性が解消 されている製品へのバージョンアップやアップデートなどを速やかに行ってください。 なお、JVN iPedia では 12 月 1 日より CVSSv3 による評価を開始しました。 10,000 レベルⅢ(危険、CVSS基本値=7.0~10.0) レベルⅡ(警告、CVSS基本値=4.0~6.9) レベルⅠ(注意、CVSS基本値=0.0~3.9) 9,000 8,000 7,000 件 数 6,463 5,720 6,000 7,262 5,857 5,695 5,000 4,743 4,480 2010 2011 3,988 4,000 3,000 5,708 5,458 2,606 2,000 1,000 0 ~2005 2006 2007 2008 2009 2012 2013 2014 2015 図2-2. 脆弱性の深刻度別件数 2-3. 脆弱性対策情報を公表した製品の種類別件数 図 2-3 のグラフは JVN iPedia に登録済みの脆弱性対策情報を、ソフトウェア製品の種類別に件数 を集計し、年次でその推移を示したものです。2015 年に最も多いのはアプリケーションに関する脆 弱性対策情報で、全件の 77.3%を占めています。また OS に関する脆弱性対策情報の割合は全体の 19.5%を占め、前年の 2 倍の割合となっています。 10,000 9,000 8,000 7,000 件 6,000 数 5,000 4,000 3,000 2,000 1,000 0 産業用制御システム 組込みソフトウェア アプリケーション OS 7,272 6,465 5,725 5,697 5,464 4,759 3,994 5,863 5,712 2.3% 4,505 0.9% 2,620 77.3% 19.5% ~2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 図2-3. 脆弱性対策情報を公表した製品の種類別件数の公開年別推移 6 2015 また 2007 年以降、重要インフラなどで利用される、産業用制御システムに関する脆弱性対策情報 が登録されるようになっています。これまでに累計で 770 件が登録されています(図 2-4) 。 200 160 登 録 件 数 188 120 178 80 140 40 0 129 94 1 8 10 2007年 2008年 2009年 22 2010年 2011年 2012年 2013年 2014年 図2-4. JVN iPedia 登録件数(産業用制御システムのみ抽出) 7 2015年 2-4. 脆弱性対策情報の製品別登録状況 表 2-4 は 2015 年第 4 四半期(10 月~12 月)に脆弱性対策情報の登録件数が多かった製品の上位 20 件を示したものです。そのうち 1 位、2 位、3 位はいずれもブラウザ製品でした。4 位以降は、ア ドビシステムズ、アップル、オラクルといったベンダーの広く普及している製品の脆弱性対策情報が 多く登録されています。 製品の利用者や開発者は、自組織などで使用しているソフトウェアの脆弱性情報を迅速に入手し、 効率的な対策に役立ててください。(*14) 表 2-4. 製品別 JVN iPedia の脆弱性対策情報登録件数 上位 20 件 [2015 年 10 月~2015 年 12 月] 順位 カテゴリ 製品名(ベンダー) 1 ブラウザ Microsoft Internet Explorer(マイクロソフト) 190 2 ブラウザ Google Chrome(Google) 167 3 ブラウザ Microsoft Edge(マイクロソフト) 141 4 OS Apple Mac OS X(アップル) 134 5 動画再生ソフト Adobe Flash Player(アドビシステムズ) 120 6 開発環境 Adobe AIR SDK & Compiler(アドビシステムズ) 117 6 開発環境 Adobe AIR SDK(アドビシステムズ) 117 6 実行環境 Adobe AIR(アドビシステムズ) 117 9 OS iOS(アップル) 101 10 OS Android(Google) 90 11 PDF 閲覧 Adobe Reader(アドビシステムズ) 59 11 PDF 閲覧・編集 Adobe Acrobat(アドビシステムズ) 59 13 OS tvOS(アップル) 46 14 OS watchOS(アップル) 45 14 ブラウザ Mozilla Firefox(Mozilla Foundation) 45 16 ミドルウェア MySQL(オラクル) 43 17 開発環境 JRE(オラクル) 42 17 開発環境 JDK(オラクル) 42 19 OS Ubuntu(Ubuntu) 30 20 OS Microsoft Windows 7(マイクロソフト) 27 (*14) 脆弱性情報の収集や集めた情報の活用方法についての手引きをまとめたレポート 「脆弱性対策の効果的な進め方(実践編)」を公開。 https://www.ipa.go.jp/security/technicalwatch/20150331.html 8 登録件数 3. 脆弱性対策情報の活用状況 表 3-1 は 2015 年第 4 四半期(10 月~12 月)にアクセスの多かった JVN iPedia の脆弱性対策情 報の上位 20 件を示したものです。 1 位は「ルータ」に関する脆弱性で、一般に広く利用されている複数のベンダーのルータ製品が該 当しました。そのため、深刻度は低いものの、アクセスが集中したと考えられます。2 位はゲーム製 品の脆弱性で、ブログやニュースサイトなどで広く紹介されたため、注目を集めアクセス数が増えた と考えられます。また 5 位、8 位のサイボウズガルーンにおける脆弱性に関しては、深刻度が高く、 悪用された場合の影響が大きいと考えられたため、IPA では注意喚起情報を発信しました。その他 OpenSSL に関する脆弱性として 7 位、14 位、18 位と、合計 3 件がランクインしました。 表 3-1.JVN iPedia の脆弱性対策情報へのアクセス 順位 ID 1 JVNDB-2015-000172 2 JVNDB-2015-000174 3 JVNDB-2015-000158 4 JVNDB-2015-005930 5 JVNDB-2015-000151 6 JVNDB-2015-000141 上位 20 件 [2015 年 10 月~2015 年 12 月] タイトル 複数のルータ製品におけるクリックジャッキングの脆 弱性 TYPE-MOON 製の複数のゲーム製品における OS コ マンドインジェクションの脆弱性 島根県 CMS における SQL インジェクションの脆弱 性 Apache Commons Collections ライブラリのデシリ アライズ処理に脆弱性 サイボウズ ガルーンにおいて任意の PHP コードが 実行される複数の脆弱性 Windows 版 Python における任意の DLL 読み込み に関する脆弱性 CVSSv2 基本値 公開日 2.6 2015/10/30 6.8 2015/11/5 6.5 2015/10/9 7.5 2015/11/17 8.5 2015/10/7 6.8 2015/10/1 4.3 2015/1/13 7.0 2015/10/7 4.3 2015/10/9 6.5 2015/10/9 OpenSSL の s3_clnt.c の ssl3_get_key_exchange 7 JVNDB-2015-001009 関数における RSA-to-EXPORT_RSA ダウングレード 攻撃を実行される脆弱性 サイボウズ ガルーンにおける LDAP インジェクショ 8 JVNDB-2015-000152 9 JVNDB-2015-000153 10 JVNDB-2015-000154 11 JVNDB-2015-000160 アバストにおけるディレクトリトラバーサルの脆弱性 4.3 2015/10/16 12 JVNDB-2015-000149 gollum における任意のファイルを閲覧される脆弱性 4.3 13 JVNDB-2015-000166 14 JVNDB-2014-000048 ンの脆弱性 Dojo Toolkit におけるクロスサイトスクリプティング の脆弱性 phpRechnung における SQL インジェクションの脆 弱性 EC-CUBE におけるクロスサイトリクエストフォージ ェリの脆弱性 OpenSSL における Change Cipher Spec メッセー ジの処理に脆弱性 9 2015/10/2 5.1 2015/10/26 4.0 2014/6/6 順位 ID 15 JVNDB-2015-000148 16 JVNDB-2015-000159 17 JVNDB-2014-000096 18 JVNDB-2014-004670 19 JVNDB-2015-000126 20 JVNDB-2015-000171 CVSSv2 基本値 タイトル Dotclear におけるクロスサイトスクリプティングの 2.6 脆弱性 iOS 版 Party Track SDK におけるサーバ証明書の検 2015/10/2 4.0 2015/10/14 証不備の脆弱性 Shutter におけるクロスサイトスクリプティングの脆 2.6 弱性 OpenSSL およびその他の製品で使用される SSL プ 2014/8/15 4.3 2014/10/16 ロトコルにおける平文データを取得される脆弱性 eXtplorer におけるクロスサイトリクエストフォージ 5.1 2015/10/15 ェリの脆弱性 HTML::Scrubber におけるクロスサイトスクリプティ ングの脆弱性 公開日 2.6 2015/10/30 表 3-2 は国内の製品開発者から収集した脆弱性対策情報でアクセスの多かった上位 5 件を示してい ます。対象製品を利用している場合、システム管理者は、ベンダーが提供する対策パッチなどを早期 に自システムに適用し、攻撃による被害を未然に防ぐことが重要です。 表 3-2.国内の製品開発者から収集した脆弱性対策情報へのアクセス 上位 5 件 [2015 年 10 月~2015 年 12 月] 順位 ID 1 JVNDB-2015-006054 2 JVNDB-2015-006129 3 JVNDB-2015-006130 CVSSv2 基本値 タイトル Hitachi Command Suite 製品における任意のファ イルを参照される脆弱性 EUR における複数のクロスサイトスクリプティング の脆弱性 JP1/Automatic Job Management System 3 におけ る脆弱性 公開日 5.0 2015/12/1 3.5 2015/12/9 5.0 2015/12/9 uCosminexus Portal Framework および Group4 JVNDB-2015-006527 max Collaboration におけるクロスサイトスクリプ 4.3 2015/12/28 ティングの脆弱性 Hitachi Tuning Manager および JP1/Performance 5 JVNDB-2014-002800 Management - Manager Web Option における複数 3.5 2014/6/11 の脆弱性 注 1)CVSSv2 基本値の深刻度による色分け CVSS 基本値=0.0~3.9 CVSS 基本値=4.0~6.9 CVSS 基本値=7.0~10.0 深刻度=レベル I(注意) 深刻度=レベル II(警告) 深刻度=レベル III(危険) 注 2)公開日の年による色分け 2013 年以前の公開 2014 年の公開 10 2015 年の公開
© Copyright 2024 ExpyDoc