...

活動報告レポート - IPA 独立行政法人 情報処理推進機構

by user

on
Category: Documents
6

views

Report

Comments

Transcript

活動報告レポート - IPA 独立行政法人 情報処理推進機構
脆弱性対策情報データベース
JVN iPedia に関する
活動報告レポート
[2015 年第 3 四半期(7 月~9 月)]
脆弱性対策情報データベース JVN iPedia に関する活動報告レポートについて
本レポートでは、2015 年 7 月 1 日から 2015 年 9 月 30 日までの間に JVN iPedia
で登録をした脆弱性対策情報の統計及び事例について紹介しています。
独立行政法人情報処理推進機構 技術本部 セキュリティセンター
2015 年 10 月 26 日
目次
1. 2015 年第 3 四半期 脆弱性対策情報データベース JVN iPedia の登録状況 .............................. - 2 1-1. 脆弱性対策情報の登録状況 ................................................................................................... - 2 1-2. 【注目情報 1】Adobe Flash Player の脆弱性対策情報について ......................................... - 3 1-3. 【注目情報 2】自動車に関する製品の脆弱性対策情報について ......................................... - 5 2. JVN iPedia の登録データ分類 ....................................................................................................... - 6 2-1. 脆弱性の種類別件数 .............................................................................................................. - 6 2-2. 脆弱性に関する深刻度別割合 ................................................................................................ - 7 2-3. 脆弱性対策情報を公表した製品の種類別件数 ...................................................................... - 7 2-4. 脆弱性対策情報の製品別登録状況 ........................................................................................ - 9 3. 脆弱性対策情報の活用状況 ........................................................................................................ - 10 -
1. 2015 年第 3 四半期 脆弱性対策情報データベース JVN iPedia の登録状況
脆弱性対策情報データベース「JVN iPedia( http://jvndb.jvn.jp/ )」は、ソフトウェア製品に関
する脆弱性対策情報を 2007 年 4 月 25 日から日本語で公開しているものです。システム管理者が迅
速に脆弱性対策を行えるよう、1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性
対策情報ポータルサイト JVN(*1)で公表した脆弱性対策情報、3)米国国立標準技術研究所 NIST(*2)
の脆弱性データベース「NVD(*3)」が公開した脆弱性対策情報を集約、翻訳しています。
1-1. 脆弱性対策情報の登録状況
表 1-1. 2015 年第 3 四半期の登録件数
~脆弱性対策情報の登録件数の累計は 56,475 件~
情報の収集元
2015 年第 3 四半期(2015 年 7 月 1 日から 9 月
30 日まで)に JVN iPedia 日本語版へ登録した脆弱
性対策情報は右表の通りとなり、脆弱性対策情報の
登録件数は、56,475 件でした(表 1-1、図 1-1)
。
JVN iPedia 英語版へ登録した脆弱性対策情報も右
表の通り、累計で 1,281 件になりました。
5,000
4,000
国内製品開発者から収集したもの
JVNから収集したもの
NVDから収集したもの
51,499
累計件数(右目盛り)
日
本
語
版
国内製品開発者
JVN
NVD
計
英
語
版
国内製品開発者
JVN
計
登録件数
累計件数
0件
168 件
326 件
5,722 件
1,435 件
50,585 件
1,761 件
56,475 件
0件
168 件
53 件
1,113 件
53 件
1,281 件
70,000
53,235
54,714
56,475
60,000
50,000
四 3,000
半
期 2,000
件
数 1,000
46,860
48,427
40,000 累
計
30,000 件
20,000 数
10,000
0
2007/4/25
公開開始
0
2Q
2014
3Q
2014
4Q
2014
1Q
2015
2Q
2015
3Q
2015
図1-1. JVN iPediaの登録件数の四半期別推移
(*1)
Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリ
ティ対策を支援しています。IPA、JPCERT/CC が共同で運営しています。 http://jvn.jp/
(*2)
National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する
研究を行う機関。 http://www.nist.gov/
(*3)
National Vulnerability Database。NIST が運営する脆弱性データベース。http://nvd.nist.gov/home.cfm
2
1-2. 【注目情報 1】Adobe Flash Player の脆弱性対策情報について
~今四半期の Adobe Flash Player の登録件数は 95 件、昨年1年分の 76 件をわずか3ヶ月で超過~
図 1-2-1 は 2013 年 10 月から 2015 年 9 月までの直近 2 年間の Adobe Flash Player の脆弱性対
策情報を四半期別で集計したものです。今四半期に JVN iPedia で公開した件数は 95 件で、昨年の公
開件数 76 件をわずか3ヶ月で超過し、年別で見ると現時点で 190 件と累計件数は昨年の 2.5 倍とな
っています。
なお、2015 年 7 月上旬には、政府などに監視ソフトを販売するイタリア企業から Adobe Flash
Player の未知の脆弱性情報を含む機密情報が漏えいし(*4)、その後、この脆弱性情報を悪用した標的
型攻撃が発生しました。
件
数
100
90
80
70
60
50
40
30
20
10
0
95
53
42
15
10
4
4Q
2013
23
1Q
2014
2Q
2014
3Q
2014
28
4Q
2014
1Q
2015
2Q
2015
3Q
2015
図1-2-1. Adobe Flash Playerの脆弱性の登録件数
図 1-2-2 は、図 1-2-1 の今四半期の Adobe Flash Player の脆弱性対策情報を深刻度割合別に集計
し、JVN iPedia 全体とで比較したものです。Adobe Flash Player は 95 件のうち、深刻度が最も高
い「レベル III(危険)」と分類される脆弱性が 89.5%を占めています。JVN iPedia 全体に占める「レ
ベル III(危険)」が 40.1%であることと比べると倍以上の割合となっています。
レベルⅢ(危険、CVSS基本値=7.0~10.0)
レベルⅡ(警告、CVSS基本値=4.0~6.9)
レベルⅠ(注意、CVSS基本値=0.0~3.9)
19件,
3.2%
10件
10.5%
7.2%
238件, 39.9%
340件, 57.0%
40.1%
52.7%
85件
89.5%
Adobe Flash Player
全体
(2015/7/1~2015/9/30)
(~2015/9/30)
図1-2-2. Adobe Flash PlayerとJVN iPedia全体の深刻度別割合
ウェブサイト閲覧時は通常、対象コンテンツが存在する場合、Adobe Flash Player が自動的に実
行されています。そのため、利用者は Adobe Flash Player の機能が使われていることを認識せずに、
(*4)
http://www.itmedia.co.jp/enterprise/articles/1507/08/news054.html
タイトル:Flash や Windows に未解決の脆弱性、Hacking Team の情報流出で発覚
3
動画再生などを行っていることが多いと考えられます。その結果、Adobe Flash Player の修正パッ
チを適用せずにウェブを閲覧し、ウイルスに感染してしまうことがあります。これが、Adobe Flash
Player の脆弱性が狙われやすい要因のひとつと考えられます。
そのため、Adobe Flash Player を使用している利用者は、常に最新の状態を維持すること、不要
な場合にはブラウザの設定などで Adobe Flash Player の無効化設定を行うこと、あるいはアンイン
ストールを行う、といった対策を実施する必要があります。
4
1-3. 【注目情報 2】自動車に関する製品の脆弱性対策情報について
~今四半期、自動車に関する脆弱性対策情報を JVN iPedia 上で初めて公開~
2015 年 7 月に自動車を遠隔から操作できる脆弱性に関する情報(*5)が公表され注目されました。
これは、米国企業「Fiat Chrysler Automobiles」の自動車に搭載されている「Uconnect」(*6)の脆
弱性を悪用することで、遠隔からエンジンの停止やハンドルの操作などを行うことが可能であること
を実証したものです。この脆弱性への対策のために、前述の自動車メーカーが大量のリコールの必要
に迫られました。
JVN iPedia では、7 月にこの脆弱性情報も他の脆弱性対策情報と同様に日本語による翻訳を行い、
一般の利用者や製品開発者向けに情報を公開しました(*7)。なお、本件は、JVN iPedia 上で公開し
た初の自動車に関する脆弱性対策情報です。
自動車に限らず、様々な機器において多様なサービス実現のためにソフトウェアを組み込む動き
が進んでいることから、今後は幅広い製品のソフトウェアに関する脆弱性対策情報が JVN iPedia で
登録・公開されることが考えられます。
製品の利用者や管理者は、脆弱性の有無に注意を払い、アップデート情報が公開された場合には、
すぐに対策パッチを適用するなど、日々の脆弱性対策を実施してください。
(*5)http://www.nikkei.com/article/DGXLASGM25H19_V20C15A7MM0000/
タイトル:クライスラー、ハッキング対策で 140 万台リコール
(*6)Uconnect。車内からワイヤレス・インターネット接続が可能なクライスラーの車載システムのこと。
(*7)http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-003899.html
タイトル:Fiat Chrysler Automobiles で使用される Uconnect における車両移動を制御される脆弱性
5
2. JVN iPedia の登録データ分類
2-1. 脆弱性の種類別件数
図 2-1 のグラフは、2015 年第 3 四半期に JVN iPedia へ登録された脆弱性対策情報を、共通脆弱
性タイプ一覧別に分類し、件数を集計した示したものです。
集計結果は件数が多い順に、CWE-119(バッファエラー)が 349 件、CWE-79(クロスサイト・
スクリプティング)が 165 件、CWE-20(不適切な入力確認)が 159 件、CWE-200(情報漏えい)
が 152 件、でした。従前、最も件数が多いのは CWE-79 であることが多く、今期のように CWE-119
が最多であることは大変めずらしいことです。この CWE-119 は、悪用されるとサーバや PC 上で悪
意のあるコードが実行され、重要なデータを盗み見られたり、改ざんされる、などの被害が発生する
可能性があります。CWE-119 の 349 件には、Microsoft Internet Explorer や Apple Safari、Mozilla
FireFox などのブラウザ、およびマイクロソフトやアップルなどの OS の脆弱性対策情報が 5 割以上
を占めています。
製品開発者は、ソフトウェアの企画・設計段階から、セキュリティ対策を講じ、脆弱性の低減に努
めることが求められます。なお、IPA ではそのための資料やツールとして、開発者や運営者が適切な
セキュリティを考慮したウェブサイトを作成するための資料「安全なウェブサイトの作り方(*8)」、
脆弱性の仕組みを実習形式や演習機能で学ぶことができる脆弱性体験学習ツール「AppGoat(*9)」、
Android アプリの開発者向けに脆弱性の学習・点検ツール「AnCoLe(*10)」を公開しています。
CWE-119 :バッファエラー
CWE-79 :クロスサイト・スクリプティング
CWE-20 :不適切な入力確認
CWE-200 :情報漏えい
CWE-264 :認可・権限・アクセス制御
CWE-399 :リソース管理の問題
CWE-352 :クロスサイト・リクエスト・フォージェリ
CWE-255 :証明書・パスワード管理
CWE-89 :SQLインジェクション
CWE-22 :パス・トラバーサル
400
350
300
250
件
200
数
150
100
50
349
165
159
152
126
0
70
43
36
38
27
CWE-119 CWE-79 CWE-20 CWE-200 CWE-264 CWE-399 CWE-352 CWE-255 CWE-89 CWE-22
図2-1. 2015年第3四半期に登録された脆弱性の種類別件数
(*8)
参考資料「安全なウェブサイトの作り方」https://www.ipa.go.jp/security/vuln/websecurity.html
脆弱性体験学習ツール「AppGoat」 https://www.ipa.go.jp/security/vuln/appgoat/index.html
(*10)
Android アプリの脆弱性の学習・点検ツール AnCoLe https://www.ipa.go.jp/security/vuln/ancole/index.html
(*9)
6
2-2. 脆弱性に関する深刻度別割合
図 2-2 のグラフは JVN iPedia に登録済みの脆弱性対策情報をその深刻度別に分類し、公表年別に
その推移を示したものです。
脆弱性対策情報の公開開始から 2015 年 9 月 30 日までに JVN iPedia に登録された脆弱性対策情
報は深刻度別に、レベルⅢが全体の 40.1%、レベルⅡが 52.7%、レベルⅠが 7.2%となっています。
これら既知の脆弱性の深刻度は全体の約 93%がサービス停止につながるような高い脅威である、
レベルⅡ以上です。既知の脆弱性による脅威を回避するため、製品利用者は脆弱性が解消されている
製品へのバージョンアップやアップデートなどを速やかに行ってください。
10,000
9,000
8,000
レベルⅢ(危険、CVSS基本値=7.0~10.0)
レベルⅡ(警告、CVSS基本値=4.0~6.9)
レベルⅠ(注意、CVSS基本値=0.0~3.9)
7,000
件
数
6,463
5,720
6,000
5,857
5,695
5,000
5,458
4,743
4,480
2010
2011
4,107
3,988
4,000
3,000
7,262
2,606
2,000
1,000
0
~2005
2006
2007
2008
2009
2012
2013
2014
2015
(~2015/9/30)
図2-2. 脆弱性の深刻度別件数
2-3. 脆弱性対策情報を公表した製品の種類別件数
図 2-3 のグラフは JVN iPedia に登録済みの脆弱性対策情報を、ソフトウェア製品の種類別に件数
を集計し、年次でその推移を示したものです。最も多いのはアプリケーションに関する脆弱性対策情
報で、全件の 84.9%を占めています。
件
数
10,000
9,000
8,000
7,000
6,000
5,000
4,000
3,000
2,000
1,000
0
産業用制御システム
組込みソフトウェア
アプリケーション
OS
7,272
6,465
5,725
5,697
5,464
4,759
3,994
5,863
4,505
4,111
2,620
~2005
2006
2007
2008
2009
2010
2011
2012
2013
2014
2015
(~2015/9/30)
図2-3. 脆弱性対策情報を公表した製品の種類別件数の公開年別推移
7
また 2007 年以降、重要インフラなどで利用される、産業用制御システムに関する脆弱性対策情報
が登録されるようになっています。これまでに累計で 708 件が登録されています(図 2-4)
。
200
160
登
録
件
数
186
120
177
80
140
94
40
0
1
8
10
2007年
2008年
2009年
70
22
2010年
2011年
2012年
2013年
2014年
図2-4. JVN iPedia 登録件数(産業用制御システムのみ抽出)
8
2015年
(~2015/9/30)
2-4. 脆弱性対策情報の製品別登録状況
表 2-4 は 2015 年第 3 四半期(7 月~9 月)に脆弱性対策情報の登録件数が多かった製品の上位
20 件を示したものです。そのうち 1 位、3 位がアップル、11 位、13 位から 18 位までがマイクロソ
フトのそれぞれ OS 製品で約半数を占めています。また、2 位、4 位、9 位、10 位、12 位は Microsoft
Internet Explorer、Google Chrome などのブラウザ製品であり、OS 製品とブラウザ製品が全体の 7
割を占めています。
JVN iPedia では、ランクインをしているソフトウェア製品などに関する脆弱性対策情報が多数登録
されています。製品の利用者や開発者は、自組織などで使用しているソフトウェアの脆弱性情報を迅
速に入手し、効率的な対策に役立ててください。(*11)
表 2-4. 製品別 JVN iPedia の脆弱性対策情報登録件数
順位
カテゴリ
1
OS
2
ブラウザ
3
OS
4
ブラウザ
5
動画再生ソフト
6
上位 20 件 [2015 年 7 月~2015 年 9 月]
製品名(ベンダー)
登録件数
iOS(アップル)
181
Microsoft Internet Explorer(マイクロソフト)
152
Apple Mac OS X(アップル)
134
Google Chrome(Google)
128
Adobe Flash Player(アドビシステムズ)
95
開発環境
Adobe AIR SDK & Compiler(アドビシステムズ)
92
6
開発環境
Adobe AIR SDK(アドビシステムズ)
92
6
実行環境
Adobe AIR(アドビシステムズ)
92
9
ブラウザ
Mozilla Firefox(Mozilla Foundation)
72
10
ブラウザ
Microsoft Edge(マイクロソフト)
65
11
OS
Microsoft Windows Server 2012(マイクロソフト)
59
12
ブラウザ
Mozilla Firefox ESR(Mozilla Foundation)
57
13
OS
Microsoft Windows 8.1(マイクロソフト)
56
14
OS
Microsoft Windows Server 2008(マイクロソフト)
55
15
OS
Microsoft Windows 8(マイクロソフト)
54
16
OS
Microsoft Windows RT(マイクロソフト)
52
17
OS
Microsoft Windows 7(マイクロソフト)
51
18
OS
Microsoft Windows Vista(マイクロソフト)
49
19
PDF 閲覧
Adobe Reader(アドビシステムズ)
45
19
PDF 閲覧・編集
Adobe Acrobat(アドビシステムズ)
45
(*11)
脆弱性情報の収集や集めた情報の活用方法についての手引きをまとめたレポート
「脆弱性対策の効果的な進め方(実践編)」を公開。
https://www.ipa.go.jp/security/technicalwatch/20150331.html
9
3. 脆弱性対策情報の活用状況
表 3-1 は 2015 年第 3 四半期(7 月~9 月)にアクセスの多かった JVN iPedia の脆弱性対策情報
の、上位 20 件を示したものです。
その製品に着目をすると、1 位は、国内でも広く利用されているスクリプト言語の「PHP」に関する
脆弱性となっています。2 位と 3 位は、スマートフォン向けアプリである「ヨドバシ」に関してで、国内
大手家電量販店のアプリであるためにアクセスが多くなっているものと考えられます。
また、脆弱性の種別に着目をすると、10 位、12 位、14 位、19 位が「クロスサイトスクリプティング
の脆弱性」として 4 件、つぎに 1 位と 4 位が「OS コマンドインジェクションの脆弱性」として2件、11
位と 18 位が「ディレクトリトラバーサルの脆弱性」として2件、となっています。4件の「クロスサイ
トスクリプティングの脆弱性」は、利用者のブラウザ上で悪意のあるスクリプトが実行されることにより
重要な情報を窃取されたり改ざんされたりする脆弱性です。
表 3-1.JVN iPedia の脆弱性対策情報へのアクセス
順位
ID
1
JVNDB-2015-000101
2
JVNDB-2015-000110
3
JVNDB-2015-000111
4
JVNDB-2015-000109
5
JVNDB-2013-003469
6
JVNDB-2015-000108
7
JVNDB-2015-000107
8
JVNDB-2015-000112
9
JVNDB-2015-000106
10
JVNDB-2015-000103
11
JVNDB-2014-000107
12
JVNDB-2015-000104
13
JVNDB-2015-000099
14
JVNDB-2015-000096
上位 20 件 [2015 年 7 月~2015 年 9 月]
CVSS
基本値
公開日
6.8
2015/7/17
5.8
2015/8/7
4.0
2015/8/7
7.5
2015/7/29
7.5
2013/7/23
5.0
2015/7/29
7.5
2015/7/29
4.3
2015/8/12
5.0
2015/7/28
2.6
2015/7/24
4.3
2014/9/25
4.3
2015/7/24
Thetis における SQL インジェクションの脆弱性
7.5
2015/7/15
シンプルお絵描き掲示板におけるクロスサイトスクリ
5.0
2015/7/10
タイトル
Windows 版 PHP における OS コマンドインジェク
ションの脆弱性
Android 版「ヨドバシ」において任意の Java のメソ
ッドが実行される脆弱性
Android 版「ヨドバシ」における SSL サーバ証明書
の検証不備の脆弱性
yoyaku_v41 における OS コマンドインジェクショ
ンの脆弱性
Apache Struts において任意のコマンドを実行される
脆弱性
yoyaku_v41 における認証回避の脆弱性
yoyaku_v41 における任意のファイルを作成される脆
弱性
Microsoft Office における情報漏えいの問題
画像掲示板 plus のファイルアップロード処理におけ
る脆弱性
Welcart におけるクロスサイトスクリプティングの脆
弱性
エスリンク製 Android アプリ「ファイルマネージャ
ー」におけるディレクトリトラバーサルの脆弱性
Research Artisan Lite におけるクロスサイトスクリ
プティングの脆弱性
10
順位
ID
タイトル
CVSS
基本値
公開日
5.0
2015/7/24
6.4
2015/7/10
5.0
2015/6/30
4.0
2015/7/15
4.3
2015/6/18
5.0
2015/6/25
プティングの脆弱性
15
JVNDB-2015-000105
16
JVNDB-2015-000097
17
JVNDB-2015-000092
18
JVNDB-2015-000098
19
JVNDB-2015-000088
20
JVNDB-2015-000090
Research Artisan Lite における認証不備の脆弱性
シンプルお絵描き掲示板における任意のファイル削除
の脆弱性
OpenEMR における認証回避の脆弱性
acmailer におけるディレクトリトラバーサルの脆弱
性
Ruby on Rails 用ライブラリ Paperclip におけるクロ
スサイトスクリプティングの脆弱性
namshi/jose におけるトークンの署名検証回避の脆
弱性
注 1)CVSS 基本値の深刻度による色分け
CVSS 基本値=0.0~3.9
CVSS 基本値=4.0~6.9
CVSS 基本値=7.0~10.0
深刻度=レベル I(注意)
深刻度=レベル II(警告)
深刻度=レベル III(危険)
注 2)公開日の年による色分け
2013 年以前の公開
2014 年の公開
11
2015 年の公開
Fly UP