...

活動報告レポート - IPA 独立行政法人 情報処理推進機構

by user

on
Category: Documents
5

views

Report

Comments

Transcript

活動報告レポート - IPA 独立行政法人 情報処理推進機構
脆弱性対策情報データベース
JVN iPedia に関する
活動報告レポート
[2015 年第 4 四半期(10 月~12 月)]
脆弱性対策情報データベース JVN iPedia に関する活動報告レポートについて
本レポートでは、
2015 年 10 月 1 日から 2015 年 12 月 31 日までの間に JVN iPedia
で登録をした脆弱性対策情報の統計及び事例について紹介しています。
独立行政法人情報処理推進機構 技術本部 セキュリティセンター
2016 年 1 月 28 日
目次
1. 2015 年第 4 四半期 脆弱性対策情報データベース JVN iPedia の登録状況 .............................. - 2 1-1. 脆弱性対策情報の登録状況 ................................................................................................... - 2 1-2. 【注目情報 1】ランサムウェアで悪用される製品の脆弱性について .................................. - 3 1-3. 【注目情報 2】Windows SQL Server 2005 の公式サポート終了について ........................ - 4 2. JVN iPedia の登録データ分類 ....................................................................................................... - 5 2-1. 脆弱性の種類別件数 .............................................................................................................. - 5 2-2. 脆弱性に関する深刻度別割合 ................................................................................................ - 6 2-3. 脆弱性対策情報を公表した製品の種類別件数 ...................................................................... - 6 2-4. 脆弱性対策情報の製品別登録状況 ........................................................................................ - 8 3. 脆弱性対策情報の活用状況 .......................................................................................................... - 9 -
1. 2015 年第 4 四半期 脆弱性対策情報データベース JVN iPedia の登録状況
脆弱性対策情報データベース「JVN iPedia( http://jvndb.jvn.jp/ )」は、ソフトウェア製品に関
する脆弱性対策情報を 2007 年 4 月 25 日から日本語で公開しているものです。システム管理者が迅
速に脆弱性対策を行えるよう、1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性
対策情報ポータルサイト JVN(*1)で公表した脆弱性対策情報、3)米国国立標準技術研究所 NIST(*2)
の脆弱性データベース「NVD(*3)」が公開した脆弱性対策情報を集約、翻訳しています。
1-1. 脆弱性対策情報の登録状況
表 1-1. 2015 年第 4 四半期の登録件数
~脆弱性対策情報の登録件数の累計は 58,094 件~
情報の収集元
2015 年第 4 四半期(2015 年 10 月 1 日から 12
月 31 日まで)に JVN iPedia 日本語版へ登録した脆
弱性対策情報は右表の通りとなり、脆弱性対策情報
の登録件数の累計は、58,094 件でした(表 1-1、図
1-1)
。
JVN iPedia 英語版へ登録した脆弱性対策情報も右
表の通り、累計で 1,337 件になりました。
5,000
4,000
四 3,000
半
期 2,000
件
数 1,000
国内製品開発者から収集したもの
JVNから収集したもの
NVDから収集したもの
累計件数(右目盛り)
48,427
日
本
語
版
国内製品開発者
JVN
NVD
計
英
語
版
国内製品開発者
JVN
計
登録件数
4件
172 件
355 件
6,077 件
1,260 件
51,845 件
1,619 件
58,094 件
4件
172 件
52 件
1,165 件
56 件
1,337 件
70,000
54,714
53,235
56,475
58,094
60,000
50,000
51,499
40,000 累
計
30,000 件
20,000 数
10,000
0
2007/4/25
公開開始
累計件数
0
3Q
2014
4Q
2014
1Q
2015
2Q
2015
3Q
2015
4Q
2015
図1-1. JVN iPediaの登録件数の四半期別推移
(*1)
Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリ
ティ対策を支援しています。IPA、JPCERT/CC が共同で運営しています。 https://jvn.jp/
(*2)
National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する
研究を行う機関。 http://www.nist.gov/
(*3)
National Vulnerability Database。NIST が運営する脆弱性データベース。http://nvd.nist.gov/home.cfm
2
1-2. 【注目情報 1】ランサムウェアで悪用される製品の脆弱性について
~悪用された脆弱性は広く普及している製品の旧バージョン、ソフトウェアの最新化が重要~
IPA では 2016 年 1 月にランサムウェアに対する注意を呼びかけました(*4)。これはメールの添付
ファイルを開いたり、ウェブサイトを閲覧したりすることで感染するランサムウェアに関する IPA へ
の相談が、2015 年 4 月以降相次いだことを受けてのものです。
JPCERT/CC の注意喚起(*5)やセキュリティブログの情報(*6)(*7)によると、Microsoft 製品の脆弱
性や Adobe Flash Player の脆弱性が攻撃に利用されていると報告されており、これらの脆弱性対策
情報は表 1-2 に示すように全て JVN iPedia で公開しているものでした。
表 1-2. JVN iPedia での公表日と攻撃確認日
No
ID(CVE)
タイトル
JVNDB-2014-005401
複数の Microsoft 製品の OLE にお
(CVE-2014-6332)
ける任意のコードを実行される脆弱性
2
JVNDB-2015-001418
(CVE-2015-0313)
Adobe Flash Player における任意の
コードを実行される脆弱性
3
JVNDB-2015-005288
(CVE-2015-7645)
Adobe Flash Player における任意の
コードを実行される脆弱性
1
JVN iPedia 公表日 攻撃確認日
2014/11/11 2015/5/6
2015/2/5 2015/5/6
2015/10/14 2015/12/1
ランサムウェアで悪用された脆弱性の修正パッチや脆弱性対策情報は、いずれも攻撃が確認される
よりも前に、既に提供されていました。利用者がアップデートを確実に実施していれば、感染被害を
免れることができたといえます。
一方、IPA が 2015 年 12 月 24 日に公開した「2015 年度情報セキュリティの脅威に対する意識調
査」(*8)によると、Adobe Flash Player の利用者のアップデート未実施の割合は、18.2%でした。ま
た「Windows アップデート等のセキュリティパッチの更新」を実施していない割合は 55.9%でした。
さらに、アップデートしない理由に着目をすると「書かれている内容がわからない」といった回答
がセキュリティパッチ未更新者のうち 3 割以上を占めていました。
ソフトウェア利用者はバージョンを最新に保ち、自身が利用しているソフトウェアを最新の状態に
維持することが求められます。しかし前述の結果から、表示されるメッセージの意味がわからないこ
とが理由で、セキュリティ対策を実施していないパソコン利用者が一定割合存在することがわかりま
す。IPA では使用しているソフトウェアが最新であるかを確認するツール“MyJVN バージョンチェッ
カ(*9)”を無償で公開しています。セキュリティソフトのほか、このツールの使用を推奨します。
(*4)
ランサムウェア感染被害に備えて定期的なバックアップを https://www.ipa.go.jp/security/txt/2016/01outline.html
ランサムウェア感染に関する注意喚起 https://www.jpcert.or.jp/at/2015/at150015.html
(*6)
「vvv ウイルス」の正体とは? ランサムウェア「CrypTesla」の流入は限定的 http://blog.trendmicro.co.jp/archives/12632
(*7)
英有名ニュースサイトのブログからランサムウェア「CrypTesla」が拡散 http://blog.trendmicro.co.jp/archives/12649
(*8)
「2015 年度情報セキュリティに対する意識調査」報告書について
https://www.ipa.go.jp/security/fy27/reports/ishiki/index.html P73、P75
(*9)
「MyJVN バージョンチェッカ」http://jvndb.jvn.jp/apis/myjvn/index.html
(*5)
3
1-3. 【注目情報 2】Windows SQL Server 2005 の公式サポート終了について
~当該ソフトの脆弱性の 85%は最も深刻度の高い「レベルⅢ 危険」~
日本マイクロソフトが提供している「Windows SQL Server 2005」の公式サポートが 2016 年 4
月 12 日に終了します。そのままサーバの使用を継続していると、脆弱性を悪用した攻撃が発生した
場合、修正プログラムが提供されないため、脆弱性を解消できず、ウイルス感染やシステムの乗っ取
りなど様々な被害を受ける可能性があります。
日本マイクロソフトによれば当該ソフトウェアは 2015 年 12 月 2 日時点でおよそ 12 万台が稼動
しており、このうち 7 万台は会計ソフトなどの業務パッケージソフトに Windows SQL Server 2005
が無償版として組み込まれ利用されています(*10)。業務パッケージソフトは組織内の人事や販売、
財務会計など業務管理に活用され、情報が集約されています。万が一に備え、安全な環境での運用が
求められます。
JVN iPedia にはこれまでに公開した Windows SQL Server 2005 に関する脆弱性対策情報が 20
件登録されています。このうち深刻度が最も高い「レベルⅢ 危険」と分類された脆弱性対策情報は
85%(17 件)で、JVN iPedia に登録された全ての脆弱性対策情報における「レベルⅢ 危険」の割
合 40.3%とは倍以上の開きがあります(図 1-3)。
レベルⅢ(危険、CVSS基本値=7.0~10.0)
レベルⅡ(警告、CVSS基本値=4.0~6.9)
レベルⅠ(注意、CVSS基本値=0.0~3.9)
3件
15.0%
19件,
3.2%
7.2%
238件, 39.9%
340件, 57.0%
40.3%
52.5%
17件
85.0%
Windows SQL Server 2005
(~2015/12/31)
全体
(~2015/12/31)
図1-3. Windows SQL Server 2005とJVN iPedia全体の脆弱性 レベル別割合
システムの運用・管理者はサポートが終了する前に、移行計画を策定するなどして、対処してく
ださい。
(*10)
SQL Server 2005 サポート終了で移行支援策--継続利用にはセキュリティリスク
http://japan.zdnet.com/article/35074408/
4
2. JVN iPedia の登録データ分類
2-1. 脆弱性の種類別件数
図 2-1 のグラフは、2015 年第 4 四半期に JVN iPedia へ登録された脆弱性対策情報を、共通脆弱
性タイプ一覧別に分類し、件数を集計した示したものです。
集計結果は件数が多い順に、CWE-119(バッファエラー)が 355 件、CWE-264(認可・権限・
アクセス制御)が 179 件、CWE-200(情報漏えい)が 166 件、CWE-20(不適切な入力確認)が
106 件でした。最も件数の多かった CWE-119(バッファエラー)は、悪用されるとサーバや PC 上
で悪意のあるコードが実行され、データを盗み見られたり、改ざんされる、などの被害が発生する可
能性があります。この中には、マイクロソフトやアップルの OS やウェブブラウザなどの脆弱性対策
情報が 6 割以上を占めています。
製品開発者は、ソフトウェアの企画・設計段階から、セキュリティ対策を講じ、脆弱性の低減に努
めることが求められます。なお、IPA ではそのための資料やツールとして、開発者や運営者が適切な
セキュリティを考慮したウェブサイトを作成するための資料「安全なウェブサイトの作り方(*11)」、
脆弱性の仕組みを実習形式や演習機能で学ぶことができる脆弱性体験学習ツール「AppGoat(*12)」、
Android アプリの開発者向けに脆弱性の学習・点検ツール「AnCoLe(*13)」を公開しています。
CWE-119 :バッファエラー
CWE-264 :認可・権限・アクセス制御
CWE-200 :情報漏えい
CWE-20 :不適切な入力確認
CWE-79 :クロスサイト・スクリプティング
CWE-399 :リソース管理の問題
CWE-189 :数値処理の問題
CWE-89 :SQLインジェクション
CWE-352 :クロスサイト・リクエスト・フォージェリ
CWE-22 :パス・トラバーサル
400
350
300
250
件
200
数
150
100
50
355
179
166
106
100
0
56
43
29
29
25
CWE-119 CWE-264 CWE-200 CWE-20 CWE-79 CWE-399 CWE-189 CWE-89 CWE-352 CWE-22
図2-1. 2015年第4四半期に登録された脆弱性の種類別件数
(*11)
「安全なウェブサイトの作り方」 https://www.ipa.go.jp/security/vuln/websecurity.html
脆弱性体験学習ツール「AppGoat」 https://www.ipa.go.jp/security/vuln/appgoat/index.html
(*13)
Android アプリの脆弱性の学習・点検ツール「AnCoLe」 https://www.ipa.go.jp/security/vuln/ancole/index.html
(*12)
5
2-2. 脆弱性に関する深刻度別割合
図 2-2 のグラフは JVN iPedia に登録済みの脆弱性対策情報を CVSSv2 の値を参考にその深刻度別
に分類し、公表年別にその推移を示したものです。
脆弱性対策情報の公開開始から 2015 年 12 月 31 日までに JVN iPedia に登録された脆弱性対策情
報は深刻度別に、レベルⅢが全体の 40.3%、レベルⅡが 52.5%、レベルⅠが 7.2%となっています。
これら既知の脆弱性の深刻度は全体の約 93%がサービス停止につながるような高い脅威である、
レベルⅡ以上となっています。既知の脆弱性による脅威を回避するため、製品利用者は脆弱性が解消
されている製品へのバージョンアップやアップデートなどを速やかに行ってください。
なお、JVN iPedia では 12 月 1 日より CVSSv3 による評価を開始しました。
10,000
レベルⅢ(危険、CVSS基本値=7.0~10.0)
レベルⅡ(警告、CVSS基本値=4.0~6.9)
レベルⅠ(注意、CVSS基本値=0.0~3.9)
9,000
8,000
7,000
件
数
6,463
5,720
6,000
7,262
5,857
5,695
5,000
4,743
4,480
2010
2011
3,988
4,000
3,000
5,708
5,458
2,606
2,000
1,000
0
~2005
2006
2007
2008
2009
2012
2013
2014
2015
図2-2. 脆弱性の深刻度別件数
2-3. 脆弱性対策情報を公表した製品の種類別件数
図 2-3 のグラフは JVN iPedia に登録済みの脆弱性対策情報を、ソフトウェア製品の種類別に件数
を集計し、年次でその推移を示したものです。2015 年に最も多いのはアプリケーションに関する脆
弱性対策情報で、全件の 77.3%を占めています。また OS に関する脆弱性対策情報の割合は全体の
19.5%を占め、前年の 2 倍の割合となっています。
10,000
9,000
8,000
7,000
件 6,000
数 5,000
4,000
3,000
2,000
1,000
0
産業用制御システム
組込みソフトウェア
アプリケーション
OS
7,272
6,465
5,725
5,697
5,464
4,759
3,994
5,863
5,712
2.3%
4,505
0.9%
2,620
77.3%
19.5%
~2005
2006
2007
2008
2009
2010
2011
2012
2013
2014
図2-3. 脆弱性対策情報を公表した製品の種類別件数の公開年別推移
6
2015
また 2007 年以降、重要インフラなどで利用される、産業用制御システムに関する脆弱性対策情報
が登録されるようになっています。これまでに累計で 770 件が登録されています(図 2-4)
。
200
160
登
録
件
数
188
120
178
80
140
40
0
129
94
1
8
10
2007年
2008年
2009年
22
2010年
2011年
2012年
2013年
2014年
図2-4. JVN iPedia 登録件数(産業用制御システムのみ抽出)
7
2015年
2-4. 脆弱性対策情報の製品別登録状況
表 2-4 は 2015 年第 4 四半期(10 月~12 月)に脆弱性対策情報の登録件数が多かった製品の上位
20 件を示したものです。そのうち 1 位、2 位、3 位はいずれもブラウザ製品でした。4 位以降は、ア
ドビシステムズ、アップル、オラクルといったベンダーの広く普及している製品の脆弱性対策情報が
多く登録されています。
製品の利用者や開発者は、自組織などで使用しているソフトウェアの脆弱性情報を迅速に入手し、
効率的な対策に役立ててください。(*14)
表 2-4. 製品別 JVN iPedia の脆弱性対策情報登録件数
上位 20 件 [2015 年 10 月~2015 年 12 月]
順位
カテゴリ
製品名(ベンダー)
1
ブラウザ
Microsoft Internet Explorer(マイクロソフト)
190
2
ブラウザ
Google Chrome(Google)
167
3
ブラウザ
Microsoft Edge(マイクロソフト)
141
4
OS
Apple Mac OS X(アップル)
134
5
動画再生ソフト
Adobe Flash Player(アドビシステムズ)
120
6
開発環境
Adobe AIR SDK & Compiler(アドビシステムズ)
117
6
開発環境
Adobe AIR SDK(アドビシステムズ)
117
6
実行環境
Adobe AIR(アドビシステムズ)
117
9
OS
iOS(アップル)
101
10
OS
Android(Google)
90
11
PDF 閲覧
Adobe Reader(アドビシステムズ)
59
11
PDF 閲覧・編集
Adobe Acrobat(アドビシステムズ)
59
13
OS
tvOS(アップル)
46
14
OS
watchOS(アップル)
45
14
ブラウザ
Mozilla Firefox(Mozilla Foundation)
45
16
ミドルウェア
MySQL(オラクル)
43
17
開発環境
JRE(オラクル)
42
17
開発環境
JDK(オラクル)
42
19
OS
Ubuntu(Ubuntu)
30
20
OS
Microsoft Windows 7(マイクロソフト)
27
(*14)
脆弱性情報の収集や集めた情報の活用方法についての手引きをまとめたレポート
「脆弱性対策の効果的な進め方(実践編)」を公開。
https://www.ipa.go.jp/security/technicalwatch/20150331.html
8
登録件数
3. 脆弱性対策情報の活用状況
表 3-1 は 2015 年第 4 四半期(10 月~12 月)にアクセスの多かった JVN iPedia の脆弱性対策情
報の上位 20 件を示したものです。
1 位は「ルータ」に関する脆弱性で、一般に広く利用されている複数のベンダーのルータ製品が該
当しました。そのため、深刻度は低いものの、アクセスが集中したと考えられます。2 位はゲーム製
品の脆弱性で、ブログやニュースサイトなどで広く紹介されたため、注目を集めアクセス数が増えた
と考えられます。また 5 位、8 位のサイボウズガルーンにおける脆弱性に関しては、深刻度が高く、
悪用された場合の影響が大きいと考えられたため、IPA では注意喚起情報を発信しました。その他
OpenSSL に関する脆弱性として 7 位、14 位、18 位と、合計 3 件がランクインしました。
表 3-1.JVN iPedia の脆弱性対策情報へのアクセス
順位
ID
1
JVNDB-2015-000172
2
JVNDB-2015-000174
3
JVNDB-2015-000158
4
JVNDB-2015-005930
5
JVNDB-2015-000151
6
JVNDB-2015-000141
上位 20 件 [2015 年 10 月~2015 年 12 月]
タイトル
複数のルータ製品におけるクリックジャッキングの脆
弱性
TYPE-MOON 製の複数のゲーム製品における OS コ
マンドインジェクションの脆弱性
島根県 CMS における SQL インジェクションの脆弱
性
Apache Commons Collections ライブラリのデシリ
アライズ処理に脆弱性
サイボウズ ガルーンにおいて任意の PHP コードが
実行される複数の脆弱性
Windows 版 Python における任意の DLL 読み込み
に関する脆弱性
CVSSv2
基本値
公開日
2.6 2015/10/30
6.8
2015/11/5
6.5
2015/10/9
7.5 2015/11/17
8.5
2015/10/7
6.8
2015/10/1
4.3
2015/1/13
7.0
2015/10/7
4.3
2015/10/9
6.5
2015/10/9
OpenSSL の s3_clnt.c の ssl3_get_key_exchange
7
JVNDB-2015-001009
関数における RSA-to-EXPORT_RSA ダウングレード
攻撃を実行される脆弱性
サイボウズ ガルーンにおける LDAP インジェクショ
8
JVNDB-2015-000152
9
JVNDB-2015-000153
10
JVNDB-2015-000154
11
JVNDB-2015-000160
アバストにおけるディレクトリトラバーサルの脆弱性
4.3 2015/10/16
12
JVNDB-2015-000149
gollum における任意のファイルを閲覧される脆弱性
4.3
13
JVNDB-2015-000166
14
JVNDB-2014-000048
ンの脆弱性
Dojo Toolkit におけるクロスサイトスクリプティング
の脆弱性
phpRechnung における SQL インジェクションの脆
弱性
EC-CUBE におけるクロスサイトリクエストフォージ
ェリの脆弱性
OpenSSL における Change Cipher Spec メッセー
ジの処理に脆弱性
9
2015/10/2
5.1 2015/10/26
4.0
2014/6/6
順位
ID
15
JVNDB-2015-000148
16
JVNDB-2015-000159
17
JVNDB-2014-000096
18
JVNDB-2014-004670
19
JVNDB-2015-000126
20
JVNDB-2015-000171
CVSSv2
基本値
タイトル
Dotclear におけるクロスサイトスクリプティングの
2.6
脆弱性
iOS 版 Party Track SDK におけるサーバ証明書の検
2015/10/2
4.0 2015/10/14
証不備の脆弱性
Shutter におけるクロスサイトスクリプティングの脆
2.6
弱性
OpenSSL およびその他の製品で使用される SSL プ
2014/8/15
4.3 2014/10/16
ロトコルにおける平文データを取得される脆弱性
eXtplorer におけるクロスサイトリクエストフォージ
5.1 2015/10/15
ェリの脆弱性
HTML::Scrubber におけるクロスサイトスクリプティ
ングの脆弱性
公開日
2.6 2015/10/30
表 3-2 は国内の製品開発者から収集した脆弱性対策情報でアクセスの多かった上位 5 件を示してい
ます。対象製品を利用している場合、システム管理者は、ベンダーが提供する対策パッチなどを早期
に自システムに適用し、攻撃による被害を未然に防ぐことが重要です。
表 3-2.国内の製品開発者から収集した脆弱性対策情報へのアクセス 上位 5 件 [2015 年 10 月~2015 年 12 月]
順位
ID
1
JVNDB-2015-006054
2
JVNDB-2015-006129
3
JVNDB-2015-006130
CVSSv2
基本値
タイトル
Hitachi Command Suite 製品における任意のファ
イルを参照される脆弱性
EUR における複数のクロスサイトスクリプティング
の脆弱性
JP1/Automatic Job Management System 3 におけ
る脆弱性
公開日
5.0
2015/12/1
3.5
2015/12/9
5.0
2015/12/9
uCosminexus Portal Framework および Group4
JVNDB-2015-006527
max Collaboration におけるクロスサイトスクリプ
4.3 2015/12/28
ティングの脆弱性
Hitachi Tuning Manager および JP1/Performance
5
JVNDB-2014-002800
Management - Manager Web Option における複数
3.5
2014/6/11
の脆弱性
注 1)CVSSv2 基本値の深刻度による色分け
CVSS 基本値=0.0~3.9
CVSS 基本値=4.0~6.9
CVSS 基本値=7.0~10.0
深刻度=レベル I(注意)
深刻度=レベル II(警告)
深刻度=レベル III(危険)
注 2)公開日の年による色分け
2013 年以前の公開
2014 年の公開
10
2015 年の公開
Fly UP