脆弱性対策情報データベース JVN iPedia に関する 活動報告レポート [2016 年第 1 四半期(1 月~3 月)] 脆弱性対策情報データベース JVN iPedia に関する活動報告レポートについて 本レポートでは、2016 年 1 月 1 日から 2016 年 3 月 31 日までの間に JVN iPedia で登録をした脆弱性対策情報の統計及び事例について紹介しています。 独立行政法人情報処理推進機構 技術本部 セキュリティセンター 2016 年 4 月 26 日 目次 1. 2016 年第 1 四半期 脆弱性対策情報データベース JVN iPedia の登録状況 .............................. - 2 1-1. 脆弱性対策情報の登録状況 ................................................................................................... - 2 1-2. 【注目情報】今四半期に公開した OpenSSL の脆弱性対策情報について ........................... - 3 2. JVN iPedia の登録データ分類 ....................................................................................................... - 5 2-1. 脆弱性の種類別件数 .............................................................................................................. - 5 2-2. 脆弱性に関する深刻度別割合 ................................................................................................ - 6 2-3. 脆弱性対策情報を公表した製品の種類別件数 ...................................................................... - 6 2-4. 脆弱性対策情報の製品別登録状況 ........................................................................................ - 8 3. 脆弱性対策情報の活用状況 .......................................................................................................... - 9 - 1. 2016 年第 1 四半期 脆弱性対策情報データベース JVN iPedia の登録状況 脆弱性対策情報データベース「JVN iPedia( http://jvndb.jvn.jp/ )」は、ソフトウェア製品に関 する脆弱性対策情報を 2007 年 4 月 25 日から日本語で公開しています。システム管理者が迅速に脆 弱性対策を行えるよう、1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情 報ポータルサイト JVN(*1)で公表した脆弱性対策情報、3)米国国立標準技術研究所 NIST(*2)の脆弱 性データベース「NVD(*3)」が公開した脆弱性対策情報を集約、翻訳しています。 1-1. 脆弱性対策情報の登録状況 表 1-1. 2016 年第 1 四半期の登録件数 ~脆弱性対策情報の登録件数の累計は 59,547 件~ 情報の収集元 2016 年第 1 四半期(2016 年 1 月 1 日から 3 月 31 日まで)に JVN iPedia 日本語版へ登録した脆弱 性対策情報は右表の通りとなり、脆弱性対策情報の 登録件数の累計は、 59,547 件でした (表 1-1、 図 1-1) 。 JVN iPedia 英語版へ登録した脆弱性対策情報も右 表の通り、累計で 1,372 件になりました。 5,000 4,000 四 3,000 半 期 2,000 件 数 1,000 国内製品開発者から収集したもの JVNから収集したもの NVDから収集したもの 累計件数(右目盛り) 51,499 日 本 語 版 国内製品開発者 JVN NVD 計 英 語 版 国内製品開発者 JVN 計 登録件数 2件 174 件 215 件 6,292 件 1,236 件 53,081 件 1,453 件 59,547 件 2件 174 件 33 件 1,198 件 35 件 1,372 件 70,000 56,475 54,714 58,094 59,547 60,000 50,000 53,235 40,000 累 計 30,000 件 20,000 数 10,000 0 2007/4/25 公開開始 累計件数 0 4Q 2014 1Q 2015 2Q 2015 3Q 2015 4Q 2015 1Q 2016 図1-1. JVN iPediaの登録件数の四半期別推移 (*1) Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリ ティ対策を支援しています。IPA、JPCERT/CC が共同で運営しています。 https://jvn.jp/ (*2) National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する 研究を行う機関。 http://www.nist.gov/ (*3) National Vulnerability Database。NIST が運営する脆弱性データベース。http://nvd.nist.gov/home.cfm 2 1-2. 【注目情報】今四半期に公開した OpenSSL の脆弱性対策情報について ~脆弱性対策情報 11 件の内4件が最も深刻度の高い「レベルⅢ 危険」~ 2016 年 3 月に暗号通信を解読される「DROWN」と呼ばれる脆弱性(*4)が公表されました。これ は通信路暗号に使われる SSLv2 のプロトコルに関する脆弱性で、中間者攻撃により SSLv2 をサポー トしているサーバの暗号通信を解読される可能性があります。また、TLS 通信であっても SSLv2 の通 信と同一の秘密鍵を使用している場合、通信内容を解読される可能性があります。公表された情報に よると、HTTPS サーバ全体の 33%に影響があるとされており、そのことから広く一般にも注目され ました。 脆弱性の対象となる SSLv2 のプロトコルを利用するソフトウェアの一つにサーバやルータなどで 広範囲に利用される OpenSSL があります。JVN iPedia の 2016 年 1 月から 2016 年 3 月に登録され た OpenSSL の脆弱性対策情報をみると、DROWN の脆弱性対策情報(*5)を含めて 11 件が登録され ています(表 1-2)。 登録された OpenSSL の脆弱性対策情報の CVSSv2 基本値(脆弱性の深刻度を示す値)に着目する と、深刻度が危険(CVSSv2 基本値=7.0~10.0)と分類される脆弱性対策情報が 4 件登録されてお り、DROWN 以外の脆弱性にも危険な脆弱性が複数存在していることがわかります。これらの脆弱性 を悪用されることで、重要な情報が漏えいする、改ざんされる、あるいはサービスを停止されられる、 といった深刻な被害を受ける可能性があります。 表 1-2. OpenSSL に関する脆弱性対策情報(2016 年 1 月~2016 年 3 月) No 1 2 3 4 5 6 7 8 9 10 11 ID(CVE) タイトル JVNDB-2016-001613 (CVE-2016-0705) JVNDB-2016-001616 (CVE-2016-0799) JVNDB-2016-001617 (CVE-2016-2842) JVNDB-2016-001615 (CVE-2016-0798) JVNDB-2016-001614 (CVE-2016-0797) JVNDB-2015-006985 (CVE-2015-3197) JVNDB-2016-001554 (CVE-2016-0800) JVNDB-2016-001637 (CVE-2016-0703) JVNDB-2016-001693 (CVE-2016-0704) JVNDB-2016-001692 (CVE-2016-0701) JVNDB-2016-001612 (CVE-2016-0702) OpenSSL の crypto/dsa/dsa_ameth.c の sa_priv_decode 関数における メモリ二重解放の脆弱性 OpenSSL の crypto/bio/b_print.c の fmtstr 関数におけるサービス運用妨 害 (DoS) の脆弱性 OpenSSL の crypto/bio/b_print.c の doapr_outch 関数における整数 オーバーフローの脆弱性 OpenSSL の SRP_VBASE_get_by_user の実装におけるサービス運用妨害 (DoS) の脆弱性 OpenSSL における整数オーバーフローの脆弱性 OpenSSL の ssl/s2_srvr.c における暗号保護メカニズムを破られる脆弱性 SSLv2 の暗号通信を解読可能な脆弱性 (DROWN 攻撃) 公表日 CVSSv2 基本値 2016/3/1 10.0 2016/3/1 10.0 2016/3/1 10.0 2016/3/1 7.8 2016/3/1 5.0 2015/12/31 4.3 2016/3/1 4.3 OpenSSL の SSLv2 の実装の s2_srvr.c の get_client_master_key 関数にお 2016/3/1 ける MASTER-KEY 値を決定される脆弱性 OpenSSL の SSLv2 の実装の s2_srvr.c のオラクル保護メカニズムにおける 2016/3/1 TLS 暗号文データを解読される脆弱性 OpenSSL の crypto/dh/dh_check.c の DH_check_pub_key 関数におけ 2016/1/28 るプライベート DH 指数を取得される脆弱性 OpenSSL の crypto/bn/bn_exp.c の 2016/3/1 MOD_EXP_CTIME_COPY_FROM_PREBUF 関数における RSA の鍵を取得 4.3 4.3 2.6 1.9 OpenSSL はファイルや通信の暗号化処理などで多数の製品に広く利用、または組み込まれていま す。システム管理者や運用者は、脆弱性を悪用する攻撃に対して被害を受けないようにするため、日々 (*4) (*5) The DROWN Attack https://drownattack.com/ SSLv2 の暗号通信を解読可能な脆弱性 (DROWN 攻撃) http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001554.html 3 最新の情報を収集し、使用しているソフトウェアに脆弱性が確認された場合は対策済みの最新バージ ョンを利用することが重要となります。なお、製品に組み込まれ意識せずに利用している可能性もあ るため、製品ベンダーの提供している製品情報なども確認し、もし組み込まれている場合はその製品 も同様の対応が必要です。 4 2. JVN iPedia の登録データ分類 2-1. 脆弱性の種類別件数 図 2-1 のグラフは、2016 年第 1 四半期に JVN iPedia へ登録された脆弱性対策情報を、共通脆弱 性タイプ一覧別に分類し、件数を集計した示したものです。 集計結果は件数が多い順に、CWE-119(バッファエラー)が 261 件、CWE-200(情報漏えい) が 151 件、CWE-20(不適切な入力確認)が 126 件、CWE-79(クロスサイトスクリプティング) が 123 件、CWE-264(認可・権限・アクセス制御)が 120 件、でした。最も件数の多かった CWE-119 (バッファエラー)は、悪用されるとサーバや PC 上で悪意のあるコードが実行され、データを盗み 見られたり、改ざんされる、などの被害が発生する可能性があります。 製品開発者は、ソフトウェアの企画・設計段階から、セキュリティ対策を講じ、脆弱性の低減に努 めることが求められます。なお、IPA ではそのための資料やツールとして、開発者や運営者が適切な セキュリティを考慮したウェブサイトを作成するための資料「安全なウェブサイトの作り方(*6)」、 脆弱性の仕組みを実習形式や演習機能で学ぶことができる脆弱性体験学習ツール「AppGoat(*7)」を 公開しています。 CWE-119 :バッファエラー CWE-200 :情報漏えい CWE-20 :不適切な入力確認 CWE-79 :クロスサイト・スクリプティング CWE-264 :認可・権限・アクセス制御 CWE-399 :リソース管理の問題 CWE-352 :クロスサイト・リクエスト・フォージェリ CWE-255 :証明書・パスワード管理 CWE-22 :パス・トラバーサル CWE-89 :SQLインジェクション 300 250 200 件 150 数 261 100 151 50 126 123 120 40 0 26 22 18 14 CWE-119 CWE-200 CWE-20 CWE-79 CWE-264 CWE-399 CWE-352 CWE-255 CWE-22 CWE-89 図2-1. 2016年第1四半期に登録された脆弱性の種類別件数 (*6) 「安全なウェブサイトの作り方」 https://www.ipa.go.jp/security/vuln/websecurity.html 脆弱性体験学習ツール「AppGoat」 https://www.ipa.go.jp/security/vuln/appgoat/index.html (*7) 5 2-2. 脆弱性に関する深刻度別割合 図 2-2 のグラフは JVN iPedia に登録済みの脆弱性対策情報を CVSSv2 の値を参考にその深刻度別 に分類し、公表年別にその推移を示したものです。 脆弱性対策情報の公開開始から 2016 年 3 月 31 日までに JVN iPedia に登録された脆弱性対策情 報は深刻度別に、レベルⅢが全体の 40.1%、レベルⅡが 52.6%、レベルⅠが 7.3%となっています。 これら既知の脆弱性の深刻度は、約 93%が情報の漏えい、改ざんされるような高い脅威であるレ ベルⅡ以上となっています。既知の脆弱性による脅威を回避するため、製品利用者は脆弱性が解消さ れている製品へのバージョンアップやアップデートなどを速やかに行ってください。 なお、JVN iPedia では、CVSSv2 によるこれまでの評価方法に加えて、2015 年 12 月 1 日より CVSSv3 による評価方法も試行運用しています。 10,000 レベルⅢ(危険、CVSS基本値=7.0~10.0) レベルⅡ(警告、CVSS基本値=4.0~6.9) レベルⅠ(注意、CVSS基本値=0.0~3.9) 9,000 8,000 7,000 件 数 6,595 6,463 5,695 5,720 6,000 7,284 5,457 4,743 5,000 6,191 5,862 4,480 4,000 3,000 2,000 955 1,000 0 ~2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 (~2016/3/31) 図2-2. 脆弱性の深刻度別件数 2-3. 脆弱性対策情報を公表した製品の種類別件数 図 2-3 のグラフは JVN iPedia に登録済みの脆弱性対策情報を、ソフトウェア製品の種類別に件数 を集計し、年次でその推移を示したものです。最も多いのはアプリケーションに関する脆弱性対策情 報で、全件の 77.4%を占めています。 10,000 9,000 8,000 7,000 件 6,000 数 5,000 4,000 3,000 2,000 1,000 0 産業用制御システム 組込みソフトウェア アプリケーション OS 6,615 7,295 6,465 5,725 5,697 5,464 4,759 6,195 5,868 4,505 959 ~2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 図2-3. 脆弱性対策情報を公表した製品の種類別件数の公開年別推移 6 2016 (~2016/3/31) また 2007 年以降、重要インフラなどで利用される、産業用制御システムに関する脆弱性対策情報 が登録されるようになっています。これまでに累計で 815 件が登録されています(図 2-4) 。 200 160 登 録 件 数 189 120 178 80 94 40 0 142 140 1 8 10 2007年 2008年 2009年 31 22 2010年 2011年 2012年 2013年 2014年 図2-4. JVN iPedia 登録件数(産業用制御システムのみ抽出) 7 2015年 2016年 (~2016/3/31) 2-4. 脆弱性対策情報の製品別登録状況 表 2-4 は 2016 年第 1 四半期(1 月~3 月)に脆弱性対策情報の登録件数が多かった製品の上位 20 件を示したものです。上位 20 件中 8 件が OS 製品、また 1 位をはじめとした 5 件はブラウザ製 品となっています。OS 製品とブラウザ製品で上位 20 件の半数以上を占めており、脆弱性対策情報 が多く登録されています。 製品の利用者や開発者は、自組織などで使用しているソフトウェアの脆弱性情報を迅速に入手し、 効率的な対策に役立ててください。(*8) 表 2-4. 製品別 JVN iPedia の脆弱性対策情報登録件数 上位 20 件 [2016 年 1 月~2016 年 3 月] 順位 カテゴリ 製品名(ベンダー) 1 ブラウザ 2 OS Microsoft Windows Server 2012(マイクロソフト) 77 3 OS Microsoft Windows 10(マイクロソフト) 76 4 統合業務パッケージ Oracle E-Business Suite(オラクル) 75 4 OS Microsoft Windows 8.1(マイクロソフト) 75 6 動画再生ソフト Adobe Flash Player(アドビシステムズ) 74 6 実行環境 Adobe AIR(アドビシステムズ) 74 6 開発環境 Adobe AIR SDK & Compiler(アドビシステムズ) 74 6 開発環境 Adobe AIR SDK(アドビシステムズ) 74 10 ブラウザ Mozilla Firefox(Mozilla Foundation) 60 11 ブラウザ Microsoft Internet Explorer(マイクロソフト) 58 12 OS Microsoft Windows RT 8.1(マイクロソフト) 57 13 OS Apple Mac OS X(アップル) 55 14 ブラウザ Microsoft Edge(マイクロソフト) 48 15 OS iOS(アップル) 46 16 ネットワーク解析 Wireshark(Wireshark) 45 16 OS Android(Google) 45 18 ミドルウェア MySQL(オラクル) 34 18 ブラウザ Mozilla Firefox ESR(Mozilla Foundation) 34 20 OS Microsoft Windows 7(マイクロソフト) 30 Google Chrome(Google) (*8) 脆弱性情報の収集や集めた情報の活用方法についての手引きをまとめたレポート 「脆弱性対策の効果的な進め方(実践編)」を公開。 https://www.ipa.go.jp/security/technicalwatch/20150331.html 8 登録件数 117 3. 脆弱性対策情報の活用状況 表 3-1 は 2016 年第 1 四半期(1 月~3 月)にアクセスの多かった JVN iPedia の脆弱性対策情報 の上位 20 件を示したものです。 1 位は「F5 BIG-IP 製品」に関する脆弱性であり、多くのサイトなどで利用されている製品である ため注目がされていることが推測されます。2 位は「glibc」に関する脆弱性であり、ブログやニュー スサイトなどで注目されたことによりアクセス数が増えたと考えられます。なお、10 位、20 位の 「Java」に関する脆弱性については、利用が非常に多いソフトウェアであり、悪用された場合の被害 も大きいことが想定されたため、IPA からは注意喚起情報も発信しています(*9)。 表 3-1.JVN iPedia の脆弱性対策情報へのアクセス 順位 ID 1 JVNDB-2015-006773 2 JVNDB-2016-001419 3 JVNDB-2016-001382 上位 20 件 [2016 年 1 月~2016 年 3 月] タイトル 複数の F5 BIG-IP 製品における AOM へのログイン アクセス権を取得される脆弱性 glibc にバッファオーバーフローの脆弱性 Cisco Adaptive Security Appliance (ASA) の IKEv1 と IKEv2 の処理にバッファオーバーフローの脆弱性 CVSSv2 基本値 公開日 10.0 2016/1/15 6.8 2016/2/18 10.0 2016/2/12 10.0 2015/4/16 複数の HP Thin Client デバイスで使用される HP 4 JVNDB-2014-008022 Easy Deploy における任意のコードを実行される脆弱 性 5 JVNDB-2016-000001 6 JVNDB-2015-006768 7 JVNDB-2014-004670 8 JVNDB-2016-000015 9 JVNDB-2016-000012 10 JVNDB-2016-001070 11 JVNDB-2016-000006 12 JVNDB-2016-000017 13 JVNDB-2016-000003 DXライブラリにおけるバッファオーバーフローの脆 弱性 QEMU の hw/net/pcnet.c の pcnet_receive 関数 におけるバッファオーバーフローの脆弱性 OpenSSL およびその他の製品で使用される SSL プ ロトコルにおける平文データを取得される脆弱性 CLUSTERPRO X におけるディレクトリトラバーサル の脆弱性 HOME SPOT CUBE における OS コマンドインジェ クションの脆弱性 複数の Oracle Java 製品における AWT に関する脆 弱性 バッファロー製の複数のネットワーク機器におけるク ロスサイトスクリプティングの脆弱性 JOB-CUBE におけるクロスサイトスクリプティング の脆弱性 H2O における HTTP ヘッダインジェクションの脆 弱性 (*9) Oracle Java の脆弱性対策について(CVE-2016-0494 等) https://www.ipa.go.jp/security/ciadr/vul/20160120-jre.html 9 6.8 2016/1/5 6.8 2016/1/15 4.3 2014/10/16 7.8 2016/1/29 5.2 2016/1/27 10.0 2016/1/20 4.3 2016/1/22 4.0 2016/1/29 4.3 2016/1/15 順位 ID 14 JVNDB-2015-000201 15 JVNDB-2016-000029 16 JVNDB-2015-000203 17 JVNDB-2014-000048 18 JVNDB-2016-000016 19 JVNDB-2016-000011 20 JVNDB-2016-001071 CVSSv2 基本値 タイトル CG-WLBARGS における認証不備の脆弱性 公開日 10.0 2015/12/25 Windows 版および Mac OS 版 LINE におけるサー ビス運用妨害 (DoS) の脆弱性 CG-WLNCM4G がオープンリゾルバとして機能して しまう問題 OpenSSL における Change Cipher Spec メッセー ジの処理に脆弱性 Vine MV におけるクロスサイトスクリプティングの 脆弱性 HOME SPOT CUBE におけるクリックジャッキング の脆弱性 Oracle Java SE および Java SE Embedded における 2D に関する脆弱性 4.0 2016/2/19 5.0 2015/12/25 4.0 2014/6/6 4.3 2016/1/29 2.6 2016/1/27 10.0 2016/1/20 表 3-2 は国内の製品開発者から収集した脆弱性対策情報でアクセスの多かった上位 5 件を示してい ます。対象製品を利用している場合、システム管理者は、ベンダーが提供する対策パッチなどを早期 に自システムに適用し、攻撃による被害を未然に防ぐことが重要です。 表 3-2.国内の製品開発者から収集した脆弱性対策情報へのアクセス 上位 5 件 [2016 年 1 月~2016 年 3 月] 順位 ID CVSSv2 基本値 タイトル 公開日 uCosminexus Portal Framework および Group1 JVNDB-2015-006527 max Collaboration におけるクロスサイトスクリプ 3.5 2015/12/28 ティングの脆弱性 2 JVNDB-2015-006129 3 JVNDB-2015-006130 4 JVNDB-2015-006054 5 JVNDB-2016-001472 EUR における複数のクロスサイトスクリプティング の脆弱性 JP1/Automatic Job Management System 3 におけ る脆弱性 Hitachi Command Suite 製品における任意のファ イルを参照される脆弱性 Hitachi Command Suite 製品における外部のファイ ルをブラウザにロードできる脆弱性 3.5 2015/12/9 5.0 2015/12/9 5.0 2015/12/1 10.0 2016/2/24 注 1)CVSSv2 基本値の深刻度による色分け CVSS 基本値=0.0~3.9 CVSS 基本値=4.0~6.9 CVSS 基本値=7.0~10.0 深刻度=レベル I(注意) 深刻度=レベル II(警告) 深刻度=レベル III(危険) 注 2)公開日の年による色分け 2014 年以前の公開 2015 年の公開 10 2016 年の公開
© Copyright 2024 ExpyDoc
