脆弱性対策情報データベース jvn ipedia の登録状況[2010 · - 2 -...
TRANSCRIPT
- 1 -
プレスリリース
2010 年 7 月 21 日
独立行政法人情報処理推進機構
脆弱性対策情報データベース JVN iPedia の登録状況[2010 年第 2 四半期(4 月~6 月)]
~ 古い脆弱性対策情報についても定期的な確認と対策を ~
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)セキュリティセンターは、2010 年
第 2 四半期(4 月~6 月)の脆弱性対策情報データベース「JVN iPedia」(ジェイブイエヌ アイ・
ペディア)の登録状況をまとめました。
(1) 古い脆弱性対策情報についても定期的な確認と対策を
JVN iPedia の脆弱性対策情報の中で 2009 年 7 月から 2010 年 6 月までの 1 年間にアクセスの多か
った上位 20 件と四半期毎の推移を発表しました(詳細は別紙 1 の表 3.と 4.参照)。この表のうち、
長期間上位に位置している(アクセス数が多い)情報には、脆弱性の影響を受ける製品の数が多い傾
向があります。また、このような脆弱性対策情報は、時間経過とともに影響を受ける製品やベンダー
情報等が更新される場合があります。古い脆弱性でも情報の更新に注意し、改めて未対策の脆弱性が
ないか確認するとともに、存在する場合は早急な対策実施が必要です。
(2) NIST の脆弱性データベースからの翻訳登録件数が 7,500 件を突破
2010 年第 2 四半期に、脆弱性対策情報データベース「JVN iPedia( http://jvndb.jvn.jp/ )」日本語
版に登録した脆弱性対策情報は 438 件でした。内訳は、国内製品開発者から収集したものが 10 件(累
計 98 件)、脆弱性対策情報ポータルサイト JVN1から収集したものが 38 件(累計 787 件)、米国国立
標準技術研究所 NIST2の脆弱性データベース「NVD
3」から、IPA が日本国内に影響があると判断し、
収集・翻訳したものが 390 件(累計 7,561 件)です。2007 年 4 月 25 日の公開開始からの登録件数の
累計は 8,446 件となりました。
(3) 日本国内で使用されている製品の脆弱性対策情報を多数公開
JVN iPedia 日本語版には様々な製品の脆弱性対策情報が登録されています。製品種類別に登録の多
い情報は、OS に関するものが 2,694 件、デスクトップアプリケーションやミドルウェアなどのアプ
リケーションに関するものが 5,575 件となっています。他にも、ルータやスイッチなどのアプライア
ンス製品に搭載された組込みソフトウェアに関するものが 158 件、監視制御システム(SCADA4)に
ついては 19 件が登録されています。
IPA が提供している MyJVN( http://jvndb.jvn.jp/apis/myjvn/ )では、ベンダー名や製品(ソフトウ
ェア)名から、それに該当する脆弱性対策情報を容易に検索することが可能です。このツールを活用
し、脆弱性対策を早期に実施することを推奨します。
1 Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、シ
ステムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。 http://jvn.jp/ 2 National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における
計測と標準に関する研究を行う機関。 http://www.nist.gov/ 3 National Vulnerability Database。NISTが運営する脆弱性データベース。 http://nvd.nist.gov/home.cfm
4 SCADA : Supervisory Control And Data Acquisition
■ 本件に関するお問い合わせ先
IPA セキュリティセンター 渡辺/大森
Tel: 03-5978-7527 Fax: 03-5978-7518 E-mail: [email protected]
■ 報道関係からのお問い合わせ先
IPA 戦略企画部広報グループ 横山/大海
Tel: 03-5978-7527 Fax: 03-5978-7518 E-mail: [email protected]
- 1 -
表 1. 2010 年第 2 四半期の登録件数
情報の収集元 登録件数 累計件数
日本語版
国内製品開発者 10 件 98 件
JVN 38 件 787 件
NVD 390 件 7,561 件
計 438 件 8,446 件
英語版
国内製品開発者 10 件 98 件
JVN 20 件 441 件
計 30 件 539 件
別紙 1
1.2010 年 第 2 四半期 脆弱性対策情報データベース JVN iPedia の登録状況(総括)
脆弱性対策情報データベース「JVN iPedia( http://jvndb.jvn.jp/ )」は、日本国内で使用されている
ソフトウェア製品の脆弱性対策情報を収集することにより、脆弱性関連情報を容易に利用可能とする
ことを目指しています。1) 国内のソフトウェア製品開発者が公開した脆弱性対策情報、2) 脆弱性対
策情報ポータルサイト JVN1で公表した脆弱性対策情報、3) 米国国立標準技術研究所 NIST
2の脆弱性
データベース「NVD3」が公開した脆弱性対策情報、の中から情報を収集、翻訳し、2007 年 4 月 25
日から公開しています。
1.1 脆弱性対策情報の登録状況
~ NIST の脆弱性データベースからの翻訳登録件数が 7,500
件を突破~
2010 年第 2 四半期(2010 年 4 月 1 日から 6 月 30
日まで)に JVN iPedia 日本語版へ登録した脆弱性対
策情報は、国内製品開発者から収集したもの 10 件
(公開開始からの累計は 98 件)、JVN から収集した
もの 38 件(累計 787 件)、NVD から収集したもの
390 件(累計 7,561 件)、合計 438 件(累計 8,446
件)でした。脆弱性対策情報の登録件数は、日本国内で使用されているソフトウェア製品の脆弱性対
策情報を NVD から収集したものが 7,500 件を突破しており、累計では 8,400 件に達しています。(表
1、図 1)。
2010 年第 2 四半期に JVN iPedia 日本語版に登録した脆弱性対策情報を製品の種類で分類すると、
Linux、UNIX、Windows、Mac OS などの OS が 76 件、Safari、Firefox、Microsoft Office、Java、
Web サーバ、データベースなどのアプリケーションが 359 件、組込みソフトウェアが 1 件、重要イ
ンフラなどで利用される監視制御システム(SCADA:Supervisory Control And Data Acquisition)が
2 件となっています。
JVN iPedia 英語版は、国内製品開発者から収集したもの 10 件(累計 98 件)、JVN から収集したも
の 20 件(累計 441 件)、合計 30 件(累計 539 件)でした。
3,562
3,8824,118
4,4424,744
5,0425,347
5,8606,156
6,666
7,2957,646
8,0088,446
3,000
4,000
5,000
6,000
7,000
8,000
9,000
0
200
400
600
800
1,000
列1 2Q2007
3Q2007
4Q2007
1Q2008
2Q2008
3Q2008
4Q2008
1Q2009
2Q2009
3Q2009
4Q2009
1Q2010
2Q2010
累積件数
四半期件数
図1.JVN iPediaの登録件数の四半期別推移
国内製品開発者から収集したもの
JVNから収集したもの
NVDから収集したもの
累計件数(右目盛り)
2007/4/25
公開開始
1 Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、シ
ステムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。 http://jvn.jp/ 2 National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における
計測と標準に関する研究を行う機関。 http://www.nist.gov/ 3 National Vulnerability Database。NISTが運営する脆弱性データベース。 http://nvd.nist.gov/home.cfm
- 2 -
表 2.登録されている製品種類別の件数
製品の種類 件数
OS(Operating System) 2,694 件
アプリケーション 5,575 件
組込みソフトウェア 158 件
SCADA 19 件
計 8,446 件
1.2 脆弱性対策情報データベースに登録されている製品種類別の件数
~日本国内で使用されている製品の脆弱性対策情報を多数公開~
表 2 は JVN iPedia 日本語版の脆弱性対策情報デー
タベースについて、製品種類別の件数を示しています。
OS に関するものが 2,694 件、アプリケーションに関
するものが 5,575 件、組込みソフトウェアに関するも
のが 158 件、監視制御システム(SCADA:Supervisory
Control And Data Acquisition)に関するものが 19 件、
となっています。
製品種類別に登録が多い製品として、OS では Red
Hat Enterprise Linux、MIRACLE LINUX といった Linux 製品や、Sun Solaris、HP-UX といった UNIX
製品、Microsoft Windows、Mac OS などが登録されています。アプリケーションでは、Microsoft Office、
Mozilla Firefox といったデスクトップアプリケーションや Oracle Database などのミドルウェア、
PHP、Java などが登録されています。組込みソフトウェアについては、ルータ、スイッチといった
アプライアンス製品が多く登録されています。監視制御システム(SCADA:Supervisory Control And
Data Acquisition)については、GE Fanuc、AREVA T&D、Rockwell Automation といった海外ベンダ
ーの製品が登録されています。
国内で利用されているソフトウェア製品の脆弱性対策情報が多数公開されていることから、製品利
用者は情報を日々収集し、製品のバージョンアップやセキュリティ対策パッチの適用などを遅滞なく
行うことが必要です。
IPA が提供している MyJVN( http://jvndb.jvn.jp/apis/myjvn/ )では、ベンダー名や製品(ソフ
トウェア)名から、それに該当する脆弱性対策情報を容易に検索することが可能です。このツールを
活用し、脆弱性対策を早期に実施することを推奨します。
1.3 2009 年 7 月~2010 年 6 月においてアクセス数の多かった脆弱性対策情報 上位 20 件
~古い脆弱性対策情報についても定期的な確認と対策を~
表 3 は 2009 年 7 月~2010 年 6 月までの 1 年間にアクセス数の多かった JVN iPedia の脆弱性対策
情報を、アクセス数の多い順番に上位 20 件まで示し、表 4 は四半期ごとのその上位 20 件の順位を記
載しています。
アクセス数の上位 20 件を分析した結果、上位 20 件のうち 14 件が脆弱性対策情報の更新が行われ
ており、特に 3 位の Apache Tomcat や 10 位の Apache HTTP Server においては 10 回以上の更新が
行われています。また、最終更新日が 2010 年 1 月以降のものが上位 20 件のうち 6 件となっており、
4 位の SSL および TLS については 2010 年 6 月 17 日に更新が行われています。この結果から、更
新回数が多い、または最終更新日が新しい情報についてはアクセス数が多くなる傾向があることが推
測されます。
上位 10 件の共通脆弱性評価システム CVSS4に着目すると、深刻度レベル III(危険) の脆弱性対策
情報は 1 件のみで、レベル I(注意)とレベル II(警告)が多くを占めています。なお、2010 年第 2
4 共通脆弱性評価システムCVSS概説。CVSS(Common Vulnerability Scoring System、共通脆弱性評価シス
テム)。 http://www.ipa.go.jp/security/vuln/CVSS.html
- 3 -
四半期(4 月~6 月)の順位上位 20 件のうち 5 件のみが、2009 年 7 月~2010 年 6 月のアクセス数
上位 20 件にランクインしており、今四半期と過去 1 年間では、注目されている脆弱性対策情報が異
なっています。
脆弱性対策情報は、公開後も、影響を受ける製品やベンダー情報の更新を行っています。例えば、
表 3 の 3 位の「Apache Tomcat」や 10 位の「Apache HTTP Server」のように公開日が古い脆弱性対策
情報が更新されることもあります。
このように、脆弱性対策情報は公開後も更新がなされる場合があるため、ウェブサイト運営者・シ
ステム管理者は、自組織が使用しているソフトウェアの脆弱性対策情報について定期的に確認を行い、
未対策や更新漏れがある場合には早急な対策の実施が必要です。
表 3.JVN iPedia の脆弱性対策情報のアクセス数上位 20 件 [2009 年 7 月~2010 年 6 月]
# ID タイトル アクセス
数
CVSS
基本値 公開日 最終更新日
1 JVNDB-2008-001495 複数の DNS 実装にキャッシュポ
イズニングの脆弱性 5966 6.4 2008/7/23 2009/2/24
2 JVNDB-2005-000601 OpenSSL におけるバージョン・ロ
ールバックの脆弱性 3720 2.6 2007/4/1 2007/12/3
3 JVNDB-2008-000009 Apache Tomcat において不正な
Cookie を送信される脆弱性 3695 4.3 2008/2/12 2010/1/5
4 JVNDB-2009-002319 SSL および TLS プロトコルに脆
弱性 3172 6.4 2009/12/14 2010/6/17
5 JVNDB-2008-000022 Lhaplus におけるバッファオーバ
ーフローの脆弱性 3119 6.8 2008/4/28 2008/4/28
6 JVNDB-2009-000037 Apache Tomcat におけるサービス
運用妨害(DoS)の脆弱性 3085 4.3 2009/6/18 2010/4/23
7 JVNDB-2009-000036
Apache Tomcat における情報漏え
いの脆弱性
3032 4.3 2009/6/18 2010/4/23
8 JVNDB-2008-000050
ウイルスセキュリティおよびウイ
ルスセキュリティ ZERO における
サービス運用妨害 (DoS) の脆弱性
3009 4.3 2008/8/12 2008/8/12
9 JVNDB-2008-001043
X.Org Foundation 製 X サーバに
おけるバッファオーバーフローの
脆弱性
2972 7.4 2008/1/31 2008/11/21
10 JVNDB-2007-001017
Apache HTTP Server の 413 エラ
ーメッセージにおける HTTP メソ
ッドを適切に検査しない問題
2938 4.3 2007/12/20 2009/11/13
11 JVNDB-2007-000819
Apache HTTP Server の
mod_imap お よ び
mod_imagemap におけるクロスサ
イトスクリプティングの脆弱性
2897 4.3 2007/12/13 2009/8/10
12 JVNDB-2008-001647 Jasmine の WebLink テンプレー 2873 7.5 2008/9/10 2009/3/30
- 4 -
# ID タイトル アクセス
数
CVSS
基本値 公開日 最終更新日
ト実行時における複数の脆弱性
13 JVNDB-2008-000018 Namazu におけるクロスサイトス
クリプティングの脆弱性 2800 4.3 2008/3/21 2009/10/27
14 JVNDB-2009-001911 XML 署名の検証において認証回避
が可能な問題 2779 5.0 2009/8/20 2010/2/26
15 JVNDB-2008-000084 PHP におけるクロスサイトスクリ
プティングの脆弱性 2719 2.6 2008/12/19 2009/6/23
16 JVNDB-2009-000010 Apache Tomcat における情報漏え
いの脆弱性 2695 2.6 2009/2/26 2009/2/26
17 JVNDB-2009-000053 FreeNAS におけるクロスサイトリ
クエストフォージェリの脆弱性 2496 7.1 2009/8/5 2009/8/5
18 JVNDB-2009-000068 IPv6 を実装した複数の製品にサー
ビス運用妨害 (DoS) の脆弱性 2478 5.7 2009/10/26 2010/1/25
19 JVNDB-2008-001150
JP1/秘文の暗号化/復号機能および
持ち出し制御機能における正しく
動作が行われない問題
2439 3.6 2008/3/14 2008/3/14
20 JVNDB-2008-001313
JP1/Cm2/Network Node Manager
におけるサービス運用妨害 (DoS)
の脆弱性
2423 5.0 2008/5/9 2008/5/9
注 1)CVSS 基本値の深刻度による色分け
CVSS 基本値=0.0~3.9
深刻度=レベル I(注意)
CVSS 基本値=4.0~6.9
深刻度=レベル II(警告)
CVSS 基本値=7.0~10.0
深刻度=レベル III(危険)
注 2)公開日の年による色分け
2007 年の公開 2008 年の公開 2009 年の公開
注 3)最終更新日の年による色分け
2008 年以前の更新 2009 年の更新 2010 年の更新
- 5 -
表 4.JVN iPedia の脆弱性対策情報のアクセス数上位 20 件 [四半期毎のアクセス順位]
# ID タイトル
2009 年
第 3 四半期
(7 月-9 月)
2009 年
第 4 四半期
(10月-12月)
2010 年
第 1 四半期
(1 月-3 月)
2010 年
第 2 四半期
(4 月-6 月)
1 JVNDB-2008-001495
複数の DNS 実装にキャッシュ
ポイズニングの脆弱性 1 位 1 位 2 位 8 位
2 JVNDB-2005-000601
OpenSSL におけるバージョ
ン・ロールバックの脆弱性 2 位 4 位 10 位 24 位
3 JVNDB-2008-000009
Apache Tomcat において不正
な Cookie を送信される脆弱性 3 位 5 位 7 位 14 位
4 JVNDB-2009-002319
SSL および TLS プロトコルに
脆弱性 - 100 位圏外 1 位 1 位
5 JVNDB-2008-000022
Lhaplus におけるバッファオー
バーフローの脆弱性 19 位 6 位 11 位 22 位
6 JVNDB-2009-000037
Apache Tomcat におけるサー
ビス運用妨害(DoS)の脆弱性 5 位 19 位 17 位 23 位
7 JVNDB-2009-000036
Apache Tomcat における情報
漏えいの脆弱性 9 位 25 位 9 位 21 位
8 JVNDB-2008-000050
ウイルスセキュリティおよびウ
イルスセキュリティ ZERO に
おけるサービス運用妨害 (DoS)
の脆弱性
6 位 14 位 19 位 31 位
9 JVNDB-2008-001043
X.Org Foundation 製 X サーバ
におけるバッファオーバーフロ
ーの脆弱性
22 位 11 位 15 位 17 位
10 JVNDB-2007-001017
Apache HTTP Server の 413
エラーメッセージにおける
HTTP メソッドを適切に検査し
ない問題
14 位 16 位 12 位 26 位
11 JVNDB-2007-000819
Apache HTTP Server の
mod_imap お よ び
mod_imagemap におけるクロ
スサイトスクリプティングの脆
弱性
27 位 20 位 13 位 13 位
12 JVNDB-2008-001647
Jasmine の WebLink テンプレ
ート実行時における複数の脆弱
性
34 位 3 位 20 位 47 位
13 JVNDB-2008-000018
Namazu におけるクロスサイト
スクリプティングの脆弱性 31 位 7 位 16 位 34 位
14 JVNDB-2009-001911
XML 署名の検証において認証
回避が可能な問題 62 位 8 位 5 位 79 位
15 JVNDB-2008-000084
PHP におけるクロスサイトス
クリプティングの脆弱性 18 位 13 位 25 位 33 位
- 6 -
# ID タイトル
2009 年
第 3 四半期
(7 月-9 月)
2009 年
第 4 四半期
(10月-12月)
2010 年
第 1 四半期
(1 月-3 月)
2010 年
第 2 四半期
(4 月-6 月)
16 JVNDB-2009-000010
Apache Tomcat における情報
漏えいの脆弱性 12 位 23 位 21 位 38 位
17 JVNDB-2009-000053
FreeNAS におけるクロスサイ
トリクエストフォージェリの脆
弱性
4 位 37 位 51 位 100 位圏外
18 JVNDB-2009-000068
IPv6 を実装した複数の製品に
サービス運用妨害 (DoS) の脆
弱性
- 2 位 18 位 36 位
19 JVNDB-2008-001150
JP1/秘文の暗号化/復号機能およ
び持ち出し制御機能における正
しく動作が行われない問題
47 位 10 位 28 位 48 位
20 JVNDB-2008-001313
JP1/Cm2/Network Node Man-
ager におけるサービス運用妨
害 (DoS) の脆弱性
38 位 18 位 30 位 41 位
- 7 -
別紙 2
1.脆弱性対策情報の登録状況
1.1 バッファエラーなど、広く知れ渡っている対策情報が数多く公開されています
共通脆弱性タイプ一覧 CWE5は、脆弱性の種類を識別するための共通の脆弱性タイプの一覧です。
CWE を用いると、ソフトウェアの多種多様にわたる脆弱性に関して、脆弱性の種類(脆弱性タイプ)
の識別や分析、国内外での比較などが可能になります。図 2 に、JVN iPedia へ今四半期に登録した脆
弱性対策情報を、CWE で分類した、脆弱性の種類ごとの件数を示します。
件数が多い脆弱性は、CWE-119(バッファエラー)が 70 件、CWE-399(リソース管理の問題)が
42 件、CWE-264(認可・権限・アクセス制御の問題)が 39 件、CWE-79(クロスサイト・スクリプ
ティング)が 30 件、CWE-94(コード・インジェクション)が 25 件、CWE-20(不適切な入力確認)
が 23 件、CWE-189(数値処理の問題)が 15 件、などとなっています。
これらは広く知れ渡っている脆弱性の種類です。製品開発者は、これらの脆弱性に関して IPA が公
開している「安全なウェブサイトの作り方6」、「安全な SQL の呼び出し方7」、「セキュア・プログラ
ミング講座8」などを参考に、ソフトウェア製品の企画・設計段階からセキュリティ実装を考慮する
必要があります。
70
42 3930 25 23
15 147 60
20
40
60
80
CWE-119 CWE-399 CWE-264 CWE-79 CWE-94 CWE-20 CWE-189 CWE-200 CWE-287 CWE-255
件数
図2. 2010年第2四半期に登録した脆弱性の種類
CWE-119:バッファエラーCWE-399:リソース管理の問題CWE-264:認可・権限・アクセス制御の問題CWE-79 :クロスサイト・スクリプティングCWE-94 :コード・インジェクション
CWE-20 :不適切な入力確認CWE-189:数値処理の問題CWE-200:情報漏えいCWE-287:不適切な認証CWE-255:証明書・パスワード管理
1.2 深刻度の高い脆弱性対策情報が数多く公開されています
図 3 に JVN iPedia に登録済みの脆弱性対策情報について、製品開発者やセキュリティポータルサ
イト等が脆弱性の対策情報を公開した日を基にした、脆弱性の深刻度の公開年別推移を示します。
2004 年以降、脆弱性対策情報の公開が急増しており、2009 年まで増加傾向となっています。
JVN iPedia では、共通脆弱性評価システム CVSS9により、それぞれの脆弱性の深刻度10を公開して
います。2010 年第 2 四半期まで(4 月~6 月)では、レベル III(危険、CVSS 基本値=7.0~10.0)が
46%、レベル II(警告、CVSS 基本値=4.0~6.9)が 45%、レベル I(注意、CVSS 基本値=0.0~3.9)
5 Common Weakness Enumeration。概要は次を参照下さい。 http://www.ipa.go.jp/security/vuln/CWE.html
6 http://www.ipa.go.jp/security/vuln/websecurity.html
7 http://www.ipa.go.jp/security/vuln/websecurity.html
8 http://www.ipa.go.jp/security/awareness/vendor/programmingv2/index.html
9 共通脆弱性評価システムCVSS概説。CVSS(Common Vulnerability Scoring System、共通脆弱性評価シス
テム)。 http://www.ipa.go.jp/security/vuln/CVSS.html 10
脆弱性の深刻度評価の新バージョン CVSS v2への移行について。http://www.ipa.go.jp/security/vuln/SeverityLevel2.html
- 8 -
が 9%となっています。
深刻度の高い脆弱性が多数公開されていることから、製品利用者は情報を日々収集し、製品のバー
ジョンアップやセキュリティ対策パッチの適用などを遅滞なく行うことが必要です。
13 55131
192350 393
603
850921
1172
1506 1618
616
0
200
400
600
800
1,000
1,200
1,400
1,600
1,800
1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010
件数
図3.脆弱性の深刻度の公開年別推移
レベルIII(危険、CVSS基本値=7.0~10.0)
レベルII (警告、CVSS基本値=4.0~6.9)
レベルI (注意、CVSS基本値=0.0~3.9)
(~2010/6/30)
1.3 アプリケーション・ソフトウェアの脆弱性対策情報の公開が年々増加しています
図 4 に JVN iPedia に登録済みの脆弱性対策情報について、その製品の種類の公開年別推移を示し
ます。Safari、Internet Explorer、Firefox、Microsoft Office などのデスクトップアプリケーションや、
Web サーバ、アプリケーションサーバ、データベースなどのミドルウェア、また、PHP、Java など、
アプリケーション・ソフトウェアの脆弱性対策情報の公開が年々増加しています。毎年、数多くのア
プリケーションが新しく開発され、それらにおいて脆弱性が発見されており、アプリケーション・ソ
フトウェアのセキュリティ対策は重要度を増しています。
Windows、Mac OS、UNIX、Linux などの OS に関しては、2005 年頃までは脆弱性の公開件数が増
加傾向にありましたが、2005 年以降は公開件数が減少傾向にあり毎年脆弱性は発見されるものの、
後継製品で脆弱性対策が迅速に施されています。
2005 年頃から、ネットワーク機器、携帯電話、DVD レコーダなどの情報家電など、組込みソフト
ウェアの脆弱性の対策情報が徐々に公開されています。
2008 年頃からは、重要インフラなどで利用される、監視制御システム(SCADA:Supervisory Control
And Data Acquisition)についても脆弱性の対策情報が公開されています。2008 年分として 6 件、2009
年分は 9 件、2010 年分は 4 件、合計 19 件の SCADA に関する脆弱性対策情報を公開しています。
0200400600800
1,0001,2001,4001,6001,800
1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010
件数
図4.脆弱性対策情報を公表した製品の種類の公開年別推移
SCADA
組込みソフトウェア
アプリケーション
OS
(~2010/6/30)
- 9 -
1.4 オープンソースソフトウェアの割合
図 5 に JVN iPedia に登録済みの脆弱性対策情報について、オープンソースソフトウェア(OSS)
と OSS 以外のソフトウェアの公開年別推移を示します。その割合は全体で OSS が 34%、OSS 以外
が 66%となっています。OSS の割合の年別推移を見ると、1998 年から 2003 年までは上昇傾向でし
たが、2004 年に減少し、近年は大きな変化なく推移しています。
0
20
40
60
80
100
0200400600800
1,0001,2001,4001,6001,800
1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010
件数
図5.オープンソースソフトウェア(OSS)とOSS以外の公開年別推移
OSS以外
OSS(オープンソースソフトウェア)
OSSの割合(右目盛り)
(~2010/6/30)
(%)
1.5 ソフトウェア製品の開発者(ベンダー)の内訳
JVN iPedia に登録済みのソフトウェア製品の開発者(ベンダー)に関して、図 6 に OSS のベンダ
ーの内訳、図 7 に OSS 以外のベンダーの内訳を示します。
OSS は、国内ベンダーが 62、海外ベンダー(日本法人有り)が 22、海外ベンダー(日本法人無し)
が 221、合計 305 ベンダーとなっています。OSS 以外は、国内ベンダーが 108、海外ベンダー(日
本法人有り)が 61、海外ベンダー(日本法人無し)が 43 、合計 212 ベンダーとなっています。
OSS に関しては、日本法人の無い海外ベンダーの脆弱性対策情報が数多く登録されています。OSS
を利用する場合、製品のバージョンアップやセキュリティパッチの適用などのノウハウを持たない製
品利用者は、製品のサポートサービスの活用、保守契約上の取り決め等の考慮が必要です。
62
22
221
図6.OSSのベンダーの内訳
国内ベンダー
海外ベンダー(日本法人有り)
海外ベンダー(日本法人無し)
合計305ベンダー
108
61
43
図7.OSS以外のベンダーの内訳
国内ベンダー
海外ベンダー(日本法人有り)
海外ベンダー(日本法人無し)
合計212ベンダー
- 10 -
2.脆弱性対策情報の活用状況
表 5 は 2010 年第 2 四半期(4 月~6 月)にアクセスの多かった JVN iPedia の脆弱性対策情報を、
アクセス数の多い順番に上位 20 件まで示しています。DNS 実装や OpenSSL、Apache Tomcat など
は、脆弱性対策情報の公開から時間が経過しても多数のアクセスがあり、利用者が注目している情報
となっています。一太郎シリーズ、サイボウズ、MODx、Cisco Router and Security Device Manager
など、近年公開した情報にも多数のアクセスがありました。
表 6 は国内の製品開発者から収集した脆弱性対策情報のアクセス数上位 5 件を示しています。
表 5.JVN iPedia の脆弱性対策情報のアクセス数上位 20 件 [2010 年 4 月~2010 年 6 月]
# ID タイトル
アクセ
ス
数
CVSS
基本値 公開日
1 JVNDB-2009-002319 SSL および TLS プロトコルに脆弱性 1365 6.4 2009/12/14
2 JVNDB-2010-000015 一太郎シリーズにおける任意のコードが実行され
る脆弱性 1359 9.3 2010/4/12
3 JVNDB-2010-000016 複数のサイボウズ製品におけるアクセス制限に関
する脆弱性 1092 5.8 2010/4/20
4 JVNDB-2010-001229 OpenSSL における複数の関数に関する脆弱性 1043 10.0 2010/4/9
5 JVNDB-2010-000012 MODx における SQL インジェクションの脆弱
性 961 7.5 2010/4/8
6 JVNDB-2010-000011 Internet Explorer における情報漏えいの脆弱性 938 4.3 2010/4/7
7 JVNDB-2010-000014 Cisco Router and Security Device Manager にお
けるクロスサイトスクリプティングの脆弱性 936 4.3 2010/4/8
8 JVNDB-2008-001495 複数の DNS 実装にキャッシュポイズニングの
脆弱性 934 6.4 2008/7/23
9 JVNDB-2010-001371 複数のアンチウィルス製品に脆弱性 741 10.0 2010/5/10
10 JVNDB-2010-000024 一太郎シリーズにおける任意のコードが実行され
る脆弱性 715 9.3 2010/6/1
11 JVNDB-2010-000010 HL-SiteManager における SQL インジェクショ
ンの脆弱性 697 7.5 2010/4/2
12 JVNDB-2010-000006 OpenPNE におけるアクセス制限回避の脆弱性 695 5.8 2010/3/5
13 JVNDB-2007-000819
Apache HTTP Server の mod_imap お よ び
mod_imagemap におけるクロスサイトスクリプ
ティングの脆弱性
676 4.3 2007/12/13
14 JVNDB-2008-000009 Apache Tomcat において不正な Cookie を送信
される脆弱性 676 4.3 2008/2/12
15 JVNDB-2010-001537 Adobe Flash ActionScript AVM2 newfunction 命令
に脆弱性 674 9.3 2010/06/17
16 JVNDB-2009-000018 一太郎シリーズにおけるバッファオーバーフロー
の脆弱性 666 6.8 2009/4/7
- 11 -
# ID タイトル
アクセ
ス
数
CVSS
基本値 公開日
17 JVNDB-2008-001043 X.Org Foundation 製 X サーバにおけるバッファ
オーバーフローの脆弱性 661 7.4 2008/1/31
18 JVNDB-2010-001174 Apache HTTP Server の ap_read_request 関数
における重要な情報を取得される脆弱性 650 4.3 2010/3/23
19 JVNDB-2010-000013 MODx におけるクロスサイトスクリプティング
の脆弱性 633 4.3 2010/4/8
20 JVNDB-2010-000019 WebSAM DeploymentManager におけるサービ
ス運用妨害 (DoS) の脆弱性 610 7.8 2010/5/17
表 6.国内の製品開発者から収集した脆弱性対策情報のアクセス数上位 5 件 [2010 年 4 月~2010 年 6 月]
# ID タイトル
アクセ
ス
数
CVSS
基本値 公開日
1 JVNDB-2008-001313 JP1/Cm2/Network Node Manager におけるサー
ビス運用妨害 (DoS) の脆弱性 459 5.0 2008/5/9
2 JVNDB-2008-001647 Jasmine の WebLink テンプレート実行時にお
ける複数の脆弱性 426 7.5 2008/9/10
3 JVNDB-2008-001150 JP1/秘文の暗号化/復号機能および持ち出し制御
機能における正しく動作が行われない問題 424 3.6 2008/3/14
4 JVNDB-2008-001895 JP1/VERITAS NetBackup の JAVA Administra-
tion GUI における特権昇格の脆弱性 410 6.5 2008/11/26
5 JVNDB-2010-001204 Accela BizSearch のローカル収集におけるアク
セス権限に関する脆弱性 329 5.0 2010/4/2
注 1)CVSS 基本値の深刻度による色分け
CVSS 基本値=0.0~3.9
深刻度=レベル I(注意)
CVSS 基本値=4.0~6.9
深刻度=レベル II(警告)
CVSS 基本値=7.0~10.0
深刻度=レベル III(危険)
注 2)公開日の年による色分け
2008 年以前の公開 2009 年の公開 2010 年の公開