jvn ipedia に関する 活動報告レポートandroid os(以降、android)にはlinux...
TRANSCRIPT
脆弱性対策情報データベース JVN iPedia に関する活動報告レポートについて
本レポートでは、2016 年 10 月 1 日から 2016 年 12 月 31 日までの間に JVN iPedia
で登録をした脆弱性対策情報の統計及び事例について紹介しています。
脆弱性対策情報データベース
JVN iPedia に関する
活動報告レポート
[2016 年第 4 四半期(10 月~12 月)]
独立行政法人情報処理推進機構 技術本部 セキュリティセンター
2017 年 1 月 24 日
目次
1. 2016 年第 4四半期 脆弱性対策情報データベース JVN iPedia の登録状況 .............................. - 2 -
1-1. 脆弱性対策情報の登録状況 ................................................................................................... - 2 -
1-2. 【注目情報 1】2016年 年間の注意喚起/緊急対策情報から分かる脆弱性の深刻度につい
て .................................................................................................................................................... - 3 -
1-3. 【注目情報 2】2016 年 年間の Android OSの脆弱性対策情報の登録件数について ........ - 5 -
2. JVN iPedia の登録データ分類 ....................................................................................................... - 6 -
2-1. 脆弱性の種類別件数 .............................................................................................................. - 6 -
2-2. 脆弱性に関する深刻度別割合 ................................................................................................ - 7 -
2-3. 脆弱性対策情報を公表した製品の種類別件数 ...................................................................... - 8 -
2-4. 脆弱性対策情報の製品別登録状況 ........................................................................................ - 9 -
3. 脆弱性対策情報の活用状況 ........................................................................................................ - 10 -
表 1-1. 2016年第 4 四半期の登録件数
情報の収集元 登録件数 累計件数
日本語版
国内製品開発者 1件 179件
JVN 117件 6,893件
NVD 1,453件 57,546件
計 1,571件 64,618件
英語版
国内製品開発者 1件 179件
JVN 71件 1,409件
計 72件 1,588件
1. 2016年第 4四半期 脆弱性対策情報データベース JVN iPediaの登録状況
脆弱性対策情報データベース「JVN iPedia( http://jvndb.jvn.jp/ )」は、ソフトウェア製品に関
する脆弱性対策情報を 2007 年 4 月 25日から日本語で公開しています。システム管理者が迅速に脆
弱性対策を行えるよう、1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情
報ポータルサイト JVN(*1)で公表した脆弱性対策情報、3)米国国立標準技術研究所 NIST(*2)の脆弱
性データベース「NVD(*3)」が公開した脆弱性対策情報を集約、翻訳しています。
1-1. 脆弱性対策情報の登録状況
~脆弱性対策情報の登録件数の累計は 64,618件~
2016 年第 4 四半期(2016 年 10 月 1 日から 12
月 31 日まで)に JVN iPedia 日本語版へ登録した脆
弱性対策情報は右表の通りとなり、脆弱性対策情報
の登録件数の累計は、64,618 件でした(表 1-1、図
1-1)。
JVN iPedia 英語版へ登録した脆弱性対策情報も右
表の通り、累計で 1,588件になりました。
56,475 58,094
59,547 61,309 63,047 64,618
0
10,000
20,000
30,000
40,000
50,000
60,000
70,000
80,000
0
1,000
2,000
3,000
3Q2015
4Q2015
1Q2016
2Q2016
3Q2016
4Q2016
四半期件数
国内製品開発者から収集したもの
JVNから収集したもの
NVDから収集したもの
累計件数(右目盛り)
2007/4/25
公開開始
累計件数
図1-1. JVN iPediaの登録件数の四半期別推移
(*1) Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリ
ティ対策を支援しています。IPA、JPCERT/CC が共同で運営しています。 https://jvn.jp/ (*2) National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する
研究を行う機関。 http://www.nist.gov/ (*3)National Vulnerability Database。NIST が運営する脆弱性データベース。http://nvd.nist.gov/home.cfm
1-2. 【注目情報 1】2016 年 年間の注意喚起/緊急対策情報から分かる脆弱性の
深刻度について
~深刻度「危険」の脆弱性対策情報は、Adobe Flash Player 95.7%、Adobe Reader 83.3%~
2016 年も広く世間で利用されている製品について、攻撃に悪用された脆弱性や深刻度の高い危険
な脆弱性が公開されました。例えば、2016 年の第 4 四半期だけでも、10 月には Adobe Reader や
Oracle JRE について、リスクの高い脆弱性(CVE-2016-1089、CVE-2016-5556 等)が公開されま
した。この脆弱性が悪用されるとコンピュータを乗っ取られる可能性等がありました。また、12 月
には Adobe Flash Player について、ゼロデイ攻撃に悪用された脆弱性(CVE-2016-7892)が公開さ
れました。
IPA では、これらのように深刻度が高い脆弱性が公開された際に、注意喚起/緊急対策情報の発信
を行っています。2016 年は合計 51 件の発信を行い、その内、上述の Adobe Flash Player は 15 件、
Adobe Reader は 5件、Oracle JRE は 5 件と全体の約半数を占めました。そこで、これら注意喚起
/緊急対策情報の発信件数が多い 3製品の脆弱性対策情報の登録状況について見ていきます。
図 1-2-1 および図 1-2-2、図 1-2-3 は、それぞれ 2016 年の Adobe Flash Player、Adobe Reader、
Oracle JRE の脆弱性の深刻度別件数とその割合を示したものです。レベルⅢ(深刻度:危険)の占め
る割合は Adobe Flash Player では 95.7%と 100%に迫るほどであり、Adobe Reader でも 8割を超
えています。また、図 1-2-4は Adobe Readerの脆弱性対策情報の登録件数及び深刻度別件数の 2012
年から 2016 年までの 5年間の推移です。
登録された脆弱性の件数が 2016 年は顕著に多く、前年の約 1.7倍でした。深刻度が「危険」とさ
れる脆弱性の登録件数も増加傾向で、その割合は 83%でした。
公表された脆弱性に対し、最新のパッチを適用せずに、脆弱性を放置したまま製品を使用し続ける
と、脆弱性を悪用した攻撃による被害を受ける可能性が高くなります。Adobe Flash Player、Adobe
Reader、Oracle JRE の利用者は、最新のパッチがベンダから公開されているか常に確認し、アップ
デート情報が公開された場合には、すみやかに最新のパッチを適用するなど、日々の脆弱性対策を実
施してください。なお、IPA では、脆弱性対策の確実な実施と促進のために、組織のシステム管理者
向けに、サイバーセキュリティ注意喚起サービス「icat(*4)」というツールを提供しています。この
ツールでは IPA が注意喚起/緊急対策情報の発信を行った、深刻度が高い脆弱性対策情報をリアルタ
イムに配信しています。
また、組織の従業員・職員や、主婦・学生といった家庭で PC を利用している一般ユーザ向けに、
「MyJVN バージョンチェッカ(*5)」を提供しています。このツールを使えば、PC にインストールし
ているソフトウェア製品のバージョンが最新であるかを確認することができます。日々の脆弱性対策
の一環として、本ツールの活用をおすすめします。
(*4)「icat」https://www.ipa.go.jp/security/vuln/icat.html
一般組織と官公庁・学術機関を含め、約 1,100 サイトで利用されている(2016年 12月時点)。 (*5)「MyJVN バージョンチェッカ」http://jvndb.jvn.jp/apis/myjvn/
1-3. 【注目情報 2】2016 年 年間の Android OS の脆弱性対策情報の登録件数に
ついて
~2016年の Android OSの脆弱性対策情報の登録件数は 508件で、前年の 4.5倍に~
2016 年 10 月に、Linux カーネルの Dirty COW(CVE-2016-5195)と呼ばれる脆弱性が公表され
ました。Android OS(以降、Android)には Linux が利用されているため、本脆弱性は Android の
全バージョンに影響する可能性があり(2016 年 11 月時点で最新バージョンであった Android 7.0
Nougat を含む)、加えて、この脆弱性に対する攻撃コードも多数公開されていました。2016 年は
Android に関する脆弱性はこの他にも多数公開されています。そこで、Android の脆弱性対策情報の
登録状況について見ていきます。
図 1-3-1 は、Android の脆弱性対策情報の登録件数及び深刻度別件数の 2012 年から 2016 年ま
での 5 年間の推移を示しています。また図 1-3-2 は 2016 年の 1 年間に登録された Android の脆弱
性の深刻度の件数とその割合を示しています。
図 1-3-1 では、2016 年の Android の脆弱性対策情報登録件数が、2015 年の登録件数の 4.5 倍に
なっています。また図 1-3-2 では、脆弱性の深刻度が「危険」と位置付けられる脆弱性の割合は 65.9%
であり、被害を受けた場合の影響が大きい脆弱性が存在していることが分かります。
普段何気なく利用しているスマートフォンやタブレット端末にも脆弱性が存在していることを認
識し、利用者は、最新のパッチが公開された場合には、すみやかにアップデートを実施する必要があ
ります。
2. JVN iPedia の登録データ分類
2-1. 脆弱性の種類別件数
図 2-1 は、2016 年第 4 四半期(10 月~12 月)に JVN iPedia へ登録した脆弱性対策情報を、共
通脆弱性タイプ一覧(CWE)によって分類し、件数を集計したものです。
集計結果は件数が多い順に、CWE-119(バッファエラー)が 234 件、CWE-200(情報漏えい)
が 187 件、CWE-264(認可・権限・アクセス制御不備)が 160件、CWE-79(クロスサイト・スク
リプティング)が 149 件、CWE-20(不適切な入力確認)が 109 件でした。最も件数の多かった
CWE-119(バッファエラー)は、悪用されるとサーバや PC 上で悪意のあるコードが実行され、デ
ータを盗み見られたり、改ざんされる、などの被害が発生する可能性があります。
製品開発者は、ソフトウェアの企画・設計段階から、脆弱性の低減に努めることが求められます。
なお、IPA ではそのための資料やツールとして、開発者や運営者がセキュリティを考慮したウェブサ
イトを作成するための資料「安全なウェブサイトの作り方(*6)」や「IPA セキュア・プログラミング
講座(*7)」などを公開しています。
234
187 160 149 109
66 53
23 21 19
0
50
100
150
200
250
CWE-119 CWE-200 CWE-264 CWE-79 CWE-20 CWE-399 CWE-89 CWE-352 CWE-22 CWE-476
件数
CWE-119 :バッファエラーCWE-200 :情報漏えいCWE-264 :認可・権限・アクセス制御CWE-79 :クロスサイト・スクリプティングCWE-20 :不適切な入力確認CWE-399 :リソース管理の問題CWE-89 :SQLインジェクションCWE-352 :クロスサイト・リクエスト・フォージェリCWE-22 :パス・トラバーサルCWE-476 :NULL ポインタデリファレンス
図2-1. 2016年第4四半期に登録された脆弱性の種類別件数
(*6)「安全なウェブサイトの作り方」 https://www.ipa.go.jp/security/vuln/websecurity.html (*7)「IPA セキュア・プログラミング講座」 https://www.ipa.go.jp/security/awareness/vendor/programming/
2-2. 脆弱性に関する深刻度別割合
図 2-2は JVN iPedia に登録済みの脆弱性対策情報を CVSSv2 の値に基づいて深刻度別に分類し、
公表年別にその推移を示したものです。
2016年 1月 1日から 2016年 12月 31日までに JVN iPediaに登録した脆弱性対策情報は深刻度
別に、レベルⅢが全体の 38.3%、レベルⅡが 51.8%、レベルⅠが 9.9%となっており、情報の漏えい
や改ざんされるような高い脅威であるレベルⅡ以上が、90.1%を占めています。
既知の脆弱性による脅威を回避するため、製品利用者は脆弱性が解消されている製品へのバージョ
ンアップやアップデートなどを速やかに行ってください。
なお、JVN iPedia では、CVSSv2 によるこれまでの評価方法に加えて、2015 年 12 月 1日より
CVSSv3(*8)による評価方法も試行運用しています。
9.9%
51.8%
38.3%
6,598 6,463
5,721 5,695
4,744 4,483
5,461 5,869
7,312
6,489
5,680
0
1,000
2,000
3,000
4,000
5,000
6,000
7,000
8,000
9,000
10,000
~2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016
件数
レベルⅢ(危険、CVSS基本値=7.0~10.0)レベルⅡ(警告、CVSS基本値=4.0~6.9)レベルⅠ(注意、CVSS基本値=0.0~3.9)
図2-2. 脆弱性の深刻度別件数
(*8)CVSSv3:脆弱性の深刻度を評価するための指標。仮想化やサンドボックス化などが進んできていることから、利用状況の変化
を取り込んだ仕様
https://www.ipa.go.jp/security/vuln/CVSSv3.html
2-3. 脆弱性対策情報を公表した製品の種類別件数
図 2-3は JVN iPediaに登録済みの脆弱性対策情報を、ソフトウェア製品の種類別に件数を集計し、
年次でその推移を示したものです。最も多いのはアプリケーションに関する脆弱性対策情報で、
2016 年の件数全件の 72.4%を占めています。
23.7%
72.4%
1.2%
2.7%
6,618 6,465
5,726 5,697
4,760 4,508
5,468 5,875
7,323
6,494
5,684
0
1,000
2,000
3,000
4,000
5,000
6,000
7,000
8,000
9,000
10,000
~2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016
件数
産業用制御システム組込みソフトウェアアプリケーションOS
図2-3. 脆弱性対策情報を公表した製品の種類別件数の公開年別推移
また2007年以降、重要インフラなどで利用される、産業用制御システムに関する脆弱性対策情報
を登録しています。これまでに累計で 945 件が登録しています(図 2-4)。
1 8 1022
94
178140
191
145 156
0
40
80
120
160
200
240
2007年 2008年 2009年 2010年 2011年 2012年 2013年 2014年 2015年 2016年
件数
図2-4. JVN iPedia 登録件数(産業用制御システムのみ抽出)
2-4. 脆弱性対策情報の製品別登録状況
表 2-4は 2016 年第 4 四半期(10月~12月)に JVN iPedia へ脆弱性対策情報の登録が多かった
製品の上位 20 件を示したものであり、1位の Android の登録件数は 129件でした。Android の他に
は Microsoft Windows10 などのマイクロソフト製品に関する脆弱性対策情報も多数ランクインして
おり、その登録件数の合計は 418 件です。
JVN iPedia は、表にある OS 製品やブラウザ製品などの脆弱性対策情報だけではなく、国内の企業
や家庭で使われているソフトウェアに関する脆弱性対策情報を網羅的に登録しています。製品の利用
者や開発者は、自組織などで使用しているソフトウェアの脆弱性対策情報を迅速に入手し、効率的な
対策に役立ててください(*9)。
表 2-4. 製品別 JVN iPedia の脆弱性対策情報登録件数 上位 20 件 [2016 年 10 月~2016 年 12 月]
順位 カテゴリ 製品名(ベンダー) 登録件数
1 OS Android(Google) 129
2 PDF 閲覧 Adobe Reader(アドビシステムズ) 75
2 PDF 閲覧・編集 Adobe Acrobat(アドビシステムズ) 75
2 PDF 閲覧・編集 Adobe Acrobat DC(アドビシステムズ) 75
2 PDF 閲覧 Adobe Acrobat Reader DC(アドビシステムズ) 75
6 OS Microsoft Windows 10(マイクロソフト) 60
7 OS Microsoft Windows 8.1(マイクロソフト) 51
8 OS Microsoft Windows Server 2012(マイクロソフト) 49
9 スクリプト言語 phpMyAdmin(The phpMyAdmin Project) 48
10 OS Microsoft Windows 7(マイクロソフト) 46
11 OS Microsoft Windows RT 8.1(マイクロソフト) 44
11 OS Microsoft Windows Server 2008(マイクロソフト) 44
11 OS Microsoft Windows Vista(マイクロソフト) 44
14 ブラウザ Microsoft Windows Edge(マイクロソフト) 41
15 動画再生ソフト Adobe Flash Player(アドビシステムズ) 40
16 OS Microsoft Windows Server 2016(マイクロソフト) 39
17 OS Linux Kernel(kernel.org) 38
18 エミュレーター QEMU(Fabrice Bellard) 36
19 ブラウザ W3m(w3m project) 31
20 ミドルウェア MySQL(オラクル) 29
(*9)脆弱性情報の収集や集めた情報の活用方法についての手引きをまとめたレポート
「脆弱性対策の効果的な進め方(実践編)」を公開。
https://www.ipa.go.jp/security/technicalwatch/20150331.html
3. 脆弱性対策情報の活用状況
表 3-1は 2016 年第 4 四半期(10月~12月)にアクセスの多かった JVN iPedia の脆弱性対策情
報の上位 20 件を示したものです。
1 位は Flexera InstallShield に関する脆弱性で、インストーラを開発するためのソフトウェアの脆
弱性が注目を浴びました。2 位は Linux カーネルの脆弱性で、「Dirty COW」という呼称で注目され
ました。また、SetucoCMS の脆弱性がニュースサイト等で紹介されたこともあり、多数ランクイン
(7 位、9 位、10 位、11 位、12 位、15 位)しています。当該製品は開発及びサポートが終了して
おり、脆弱性の影響を受けないためには使用を停止する必要があります。
表 3-1.JVN iPedia の脆弱性対策情報へのアクセス 上位 20 件 [2016 年 10 月~2016 年 12 月]
順位 ID タイトル CVSSv2 基本値
公開日 アクセス数
1 JVNDB-2016-001684 Flexera InstallShield における権限を取得され
る脆弱性 7.2 2016/3/14 6176
2 JVNDB-2016-005596
Linux カーネルのメモリサブシステムに実装さ
れている copy-on-write 機構に競合状態が発生
する脆弱性
7.2 2016/10/25 5723
3 JVNDB-2016-000211 7-Zip for Windows のインストーラにおける任
意の DLL 読み込みに関する脆弱性 6.8 2016/10/26 4829
4 JVNDB-2016-000207 e-Tax ソフトのインストーラにおける DLL 読み
込みに関する脆弱性 6.8 2016/10/19 4713
5 JVNDB-2016-000202 Usermin におけるクロスサイトスクリプティン
グの脆弱性 2.6 2016/10/7 4443
6 JVNDB-2016-004511
TLS プロトコルなどの製品で使用される DES
および Triple DES 暗号における平文のデータ
を取得される脆弱性
5.0 2016/9/2 4386
7 JVNDB-2016-000196 SetucoCMS におけるクロスサイトリクエスト
フォージェリの脆弱性 4.0 2016/10/7 4236
8 JVNDB-2016-000195 Cryptography API: Next Generation (CNG) に
おけるサービス運用妨害 (DoS) の脆弱性 4.3 2016/10/7 4235
9 JVNDB-2016-000200 SetucoCMS におけるコードインジェクション
の脆弱性 6.5 2016/10/7 4232
10 JVNDB-2016-000201 SetucoCMS におけるセッション管理不備の脆
弱性 4.0 2016/10/7 4180
11 JVNDB-2016-000197 SetucoCMS におけるクロスサイトスクリプテ
ィングの脆弱性 4.3 2016/10/7 4174
12 JVNDB-2016-000198 SetucoCMS における SQL インジェクション
の脆弱性 6.5 2016/10/7 4076
13 JVNDB-2016-000215 WFS-SR01 におけるアクセス制限不備の脆弱性 7.5 2016/11/2 4065
14 JVNDB-2016-000214 WFS-SR01 において任意のコマンドを実行され
る脆弱性 7.5 2016/11/2 4042
順位 ID タイトル CVSSv2 基本値
公開日 アクセス数
15 JVNDB-2016-000199 SetucoCMS におけるサービス運用妨害 (DoS)
の脆弱性 5.0 2016/10/7 3994
16 JVNDB-2016-000212
Windows 版 公的個人認証サービス 利用者ク
ライアントソフトのインストーラにおける DLL
読み込みに関する脆弱性
6.8 2016/11/1 3965
17 JVNDB-2016-000192 サイボウズ Office におけるサービス運用妨害
(DoS) の脆弱性 6.8 2016/10/3 3887
18 JVNDB-2016-000193 サイボウズ Office における意図しないファイ
ルをダウンロードさせられる脆弱性 3.5 2016/10/3 3677
19 JVNDB-2016-000210 WordPress 用プラグイン WP-OliveCart にお
ける SQL インジェクションの脆弱性 6.5 2016/10/20 3649
20 JVNDB-2016-000168 FlashAir におけるアクセス制限不備の脆弱性 5.4 2016/9/27 3550
表3-2は国内の製品開発者から収集した脆弱性対策情報でアクセスの多かった上位5件を示してい
ます。対象製品を利用している場合、システム管理者は、ベンダが提供する対策パッチなどを早期に
自システムに適用し、攻撃による被害を未然に防ぐことが重要です。
表 3-2.国内の製品開発者から収集した脆弱性対策情報へのアクセス 上位 5件 [2016年 10月~2016年 12月]
順位 ID タイトル CVSSv2 基本値
公開日 アクセス数
1 JVNDB-2016-005655 JP1/IT Desktop Management 2 - Manager お
よび JP1/NETM/DM における脆弱性 10.0 2016/11/1 3434
2 JVNDB-2016-004496
Hitachi Automation Director お よ び
JP1/Automatic Operation における情報露出
の脆弱性
3.5 2016/9/2 1135
3 JVNDB-2011-001632
Hitachi Web Server の SSL および TLS プロ
トコルにおける任意のデータが挿入される脆弱
性
4.3 2011/5/26 241
4 JVNDB-2007-001022
Apache の mod_autoindex.c に お け る
UTF-7 エンコードに関するクロスサイトスク
リプティングの脆弱性
4.3 2007/12/25 221
5 JVNDB-2011-001633
Hitachi Web Server の RequestHeader ディ
レクティブによるヘッダカスタマイズにおける
破棄したメモリ内のデータが参照される脆弱性
5.1 2011/5/26 198
注 1)CVSSv2 基本値の深刻度による色分け
CVSS 基本値=0.0~3.9
深刻度=レベル I(注意)
CVSS 基本値=4.0~6.9
深刻度=レベル II(警告)
CVSS 基本値=7.0~10.0
深刻度=レベル III(危険)
注 2)公開日の年による色分け
2014 年以前の公開 2015 年の公開 2016 年の公開