Comments
Description
Transcript
活動報告レポート - IPA 独立行政法人 情報処理推進機構
脆弱性対策情報データベース JVN iPedia に関する 活動報告レポート [2015 年第 3 四半期(7 月~9 月)] 脆弱性対策情報データベース JVN iPedia に関する活動報告レポートについて 本レポートでは、2015 年 7 月 1 日から 2015 年 9 月 30 日までの間に JVN iPedia で登録をした脆弱性対策情報の統計及び事例について紹介しています。 独立行政法人情報処理推進機構 技術本部 セキュリティセンター 2015 年 10 月 26 日 目次 1. 2015 年第 3 四半期 脆弱性対策情報データベース JVN iPedia の登録状況 .............................. - 2 1-1. 脆弱性対策情報の登録状況 ................................................................................................... - 2 1-2. 【注目情報 1】Adobe Flash Player の脆弱性対策情報について ......................................... - 3 1-3. 【注目情報 2】自動車に関する製品の脆弱性対策情報について ......................................... - 5 2. JVN iPedia の登録データ分類 ....................................................................................................... - 6 2-1. 脆弱性の種類別件数 .............................................................................................................. - 6 2-2. 脆弱性に関する深刻度別割合 ................................................................................................ - 7 2-3. 脆弱性対策情報を公表した製品の種類別件数 ...................................................................... - 7 2-4. 脆弱性対策情報の製品別登録状況 ........................................................................................ - 9 3. 脆弱性対策情報の活用状況 ........................................................................................................ - 10 - 1. 2015 年第 3 四半期 脆弱性対策情報データベース JVN iPedia の登録状況 脆弱性対策情報データベース「JVN iPedia( http://jvndb.jvn.jp/ )」は、ソフトウェア製品に関 する脆弱性対策情報を 2007 年 4 月 25 日から日本語で公開しているものです。システム管理者が迅 速に脆弱性対策を行えるよう、1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性 対策情報ポータルサイト JVN(*1)で公表した脆弱性対策情報、3)米国国立標準技術研究所 NIST(*2) の脆弱性データベース「NVD(*3)」が公開した脆弱性対策情報を集約、翻訳しています。 1-1. 脆弱性対策情報の登録状況 表 1-1. 2015 年第 3 四半期の登録件数 ~脆弱性対策情報の登録件数の累計は 56,475 件~ 情報の収集元 2015 年第 3 四半期(2015 年 7 月 1 日から 9 月 30 日まで)に JVN iPedia 日本語版へ登録した脆弱 性対策情報は右表の通りとなり、脆弱性対策情報の 登録件数は、56,475 件でした(表 1-1、図 1-1) 。 JVN iPedia 英語版へ登録した脆弱性対策情報も右 表の通り、累計で 1,281 件になりました。 5,000 4,000 国内製品開発者から収集したもの JVNから収集したもの NVDから収集したもの 51,499 累計件数(右目盛り) 日 本 語 版 国内製品開発者 JVN NVD 計 英 語 版 国内製品開発者 JVN 計 登録件数 累計件数 0件 168 件 326 件 5,722 件 1,435 件 50,585 件 1,761 件 56,475 件 0件 168 件 53 件 1,113 件 53 件 1,281 件 70,000 53,235 54,714 56,475 60,000 50,000 四 3,000 半 期 2,000 件 数 1,000 46,860 48,427 40,000 累 計 30,000 件 20,000 数 10,000 0 2007/4/25 公開開始 0 2Q 2014 3Q 2014 4Q 2014 1Q 2015 2Q 2015 3Q 2015 図1-1. JVN iPediaの登録件数の四半期別推移 (*1) Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリ ティ対策を支援しています。IPA、JPCERT/CC が共同で運営しています。 http://jvn.jp/ (*2) National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する 研究を行う機関。 http://www.nist.gov/ (*3) National Vulnerability Database。NIST が運営する脆弱性データベース。http://nvd.nist.gov/home.cfm 2 1-2. 【注目情報 1】Adobe Flash Player の脆弱性対策情報について ~今四半期の Adobe Flash Player の登録件数は 95 件、昨年1年分の 76 件をわずか3ヶ月で超過~ 図 1-2-1 は 2013 年 10 月から 2015 年 9 月までの直近 2 年間の Adobe Flash Player の脆弱性対 策情報を四半期別で集計したものです。今四半期に JVN iPedia で公開した件数は 95 件で、昨年の公 開件数 76 件をわずか3ヶ月で超過し、年別で見ると現時点で 190 件と累計件数は昨年の 2.5 倍とな っています。 なお、2015 年 7 月上旬には、政府などに監視ソフトを販売するイタリア企業から Adobe Flash Player の未知の脆弱性情報を含む機密情報が漏えいし(*4)、その後、この脆弱性情報を悪用した標的 型攻撃が発生しました。 件 数 100 90 80 70 60 50 40 30 20 10 0 95 53 42 15 10 4 4Q 2013 23 1Q 2014 2Q 2014 3Q 2014 28 4Q 2014 1Q 2015 2Q 2015 3Q 2015 図1-2-1. Adobe Flash Playerの脆弱性の登録件数 図 1-2-2 は、図 1-2-1 の今四半期の Adobe Flash Player の脆弱性対策情報を深刻度割合別に集計 し、JVN iPedia 全体とで比較したものです。Adobe Flash Player は 95 件のうち、深刻度が最も高 い「レベル III(危険)」と分類される脆弱性が 89.5%を占めています。JVN iPedia 全体に占める「レ ベル III(危険)」が 40.1%であることと比べると倍以上の割合となっています。 レベルⅢ(危険、CVSS基本値=7.0~10.0) レベルⅡ(警告、CVSS基本値=4.0~6.9) レベルⅠ(注意、CVSS基本値=0.0~3.9) 19件, 3.2% 10件 10.5% 7.2% 238件, 39.9% 340件, 57.0% 40.1% 52.7% 85件 89.5% Adobe Flash Player 全体 (2015/7/1~2015/9/30) (~2015/9/30) 図1-2-2. Adobe Flash PlayerとJVN iPedia全体の深刻度別割合 ウェブサイト閲覧時は通常、対象コンテンツが存在する場合、Adobe Flash Player が自動的に実 行されています。そのため、利用者は Adobe Flash Player の機能が使われていることを認識せずに、 (*4) http://www.itmedia.co.jp/enterprise/articles/1507/08/news054.html タイトル:Flash や Windows に未解決の脆弱性、Hacking Team の情報流出で発覚 3 動画再生などを行っていることが多いと考えられます。その結果、Adobe Flash Player の修正パッ チを適用せずにウェブを閲覧し、ウイルスに感染してしまうことがあります。これが、Adobe Flash Player の脆弱性が狙われやすい要因のひとつと考えられます。 そのため、Adobe Flash Player を使用している利用者は、常に最新の状態を維持すること、不要 な場合にはブラウザの設定などで Adobe Flash Player の無効化設定を行うこと、あるいはアンイン ストールを行う、といった対策を実施する必要があります。 4 1-3. 【注目情報 2】自動車に関する製品の脆弱性対策情報について ~今四半期、自動車に関する脆弱性対策情報を JVN iPedia 上で初めて公開~ 2015 年 7 月に自動車を遠隔から操作できる脆弱性に関する情報(*5)が公表され注目されました。 これは、米国企業「Fiat Chrysler Automobiles」の自動車に搭載されている「Uconnect」(*6)の脆 弱性を悪用することで、遠隔からエンジンの停止やハンドルの操作などを行うことが可能であること を実証したものです。この脆弱性への対策のために、前述の自動車メーカーが大量のリコールの必要 に迫られました。 JVN iPedia では、7 月にこの脆弱性情報も他の脆弱性対策情報と同様に日本語による翻訳を行い、 一般の利用者や製品開発者向けに情報を公開しました(*7)。なお、本件は、JVN iPedia 上で公開し た初の自動車に関する脆弱性対策情報です。 自動車に限らず、様々な機器において多様なサービス実現のためにソフトウェアを組み込む動き が進んでいることから、今後は幅広い製品のソフトウェアに関する脆弱性対策情報が JVN iPedia で 登録・公開されることが考えられます。 製品の利用者や管理者は、脆弱性の有無に注意を払い、アップデート情報が公開された場合には、 すぐに対策パッチを適用するなど、日々の脆弱性対策を実施してください。 (*5)http://www.nikkei.com/article/DGXLASGM25H19_V20C15A7MM0000/ タイトル:クライスラー、ハッキング対策で 140 万台リコール (*6)Uconnect。車内からワイヤレス・インターネット接続が可能なクライスラーの車載システムのこと。 (*7)http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-003899.html タイトル:Fiat Chrysler Automobiles で使用される Uconnect における車両移動を制御される脆弱性 5 2. JVN iPedia の登録データ分類 2-1. 脆弱性の種類別件数 図 2-1 のグラフは、2015 年第 3 四半期に JVN iPedia へ登録された脆弱性対策情報を、共通脆弱 性タイプ一覧別に分類し、件数を集計した示したものです。 集計結果は件数が多い順に、CWE-119(バッファエラー)が 349 件、CWE-79(クロスサイト・ スクリプティング)が 165 件、CWE-20(不適切な入力確認)が 159 件、CWE-200(情報漏えい) が 152 件、でした。従前、最も件数が多いのは CWE-79 であることが多く、今期のように CWE-119 が最多であることは大変めずらしいことです。この CWE-119 は、悪用されるとサーバや PC 上で悪 意のあるコードが実行され、重要なデータを盗み見られたり、改ざんされる、などの被害が発生する 可能性があります。CWE-119 の 349 件には、Microsoft Internet Explorer や Apple Safari、Mozilla FireFox などのブラウザ、およびマイクロソフトやアップルなどの OS の脆弱性対策情報が 5 割以上 を占めています。 製品開発者は、ソフトウェアの企画・設計段階から、セキュリティ対策を講じ、脆弱性の低減に努 めることが求められます。なお、IPA ではそのための資料やツールとして、開発者や運営者が適切な セキュリティを考慮したウェブサイトを作成するための資料「安全なウェブサイトの作り方(*8)」、 脆弱性の仕組みを実習形式や演習機能で学ぶことができる脆弱性体験学習ツール「AppGoat(*9)」、 Android アプリの開発者向けに脆弱性の学習・点検ツール「AnCoLe(*10)」を公開しています。 CWE-119 :バッファエラー CWE-79 :クロスサイト・スクリプティング CWE-20 :不適切な入力確認 CWE-200 :情報漏えい CWE-264 :認可・権限・アクセス制御 CWE-399 :リソース管理の問題 CWE-352 :クロスサイト・リクエスト・フォージェリ CWE-255 :証明書・パスワード管理 CWE-89 :SQLインジェクション CWE-22 :パス・トラバーサル 400 350 300 250 件 200 数 150 100 50 349 165 159 152 126 0 70 43 36 38 27 CWE-119 CWE-79 CWE-20 CWE-200 CWE-264 CWE-399 CWE-352 CWE-255 CWE-89 CWE-22 図2-1. 2015年第3四半期に登録された脆弱性の種類別件数 (*8) 参考資料「安全なウェブサイトの作り方」https://www.ipa.go.jp/security/vuln/websecurity.html 脆弱性体験学習ツール「AppGoat」 https://www.ipa.go.jp/security/vuln/appgoat/index.html (*10) Android アプリの脆弱性の学習・点検ツール AnCoLe https://www.ipa.go.jp/security/vuln/ancole/index.html (*9) 6 2-2. 脆弱性に関する深刻度別割合 図 2-2 のグラフは JVN iPedia に登録済みの脆弱性対策情報をその深刻度別に分類し、公表年別に その推移を示したものです。 脆弱性対策情報の公開開始から 2015 年 9 月 30 日までに JVN iPedia に登録された脆弱性対策情 報は深刻度別に、レベルⅢが全体の 40.1%、レベルⅡが 52.7%、レベルⅠが 7.2%となっています。 これら既知の脆弱性の深刻度は全体の約 93%がサービス停止につながるような高い脅威である、 レベルⅡ以上です。既知の脆弱性による脅威を回避するため、製品利用者は脆弱性が解消されている 製品へのバージョンアップやアップデートなどを速やかに行ってください。 10,000 9,000 8,000 レベルⅢ(危険、CVSS基本値=7.0~10.0) レベルⅡ(警告、CVSS基本値=4.0~6.9) レベルⅠ(注意、CVSS基本値=0.0~3.9) 7,000 件 数 6,463 5,720 6,000 5,857 5,695 5,000 5,458 4,743 4,480 2010 2011 4,107 3,988 4,000 3,000 7,262 2,606 2,000 1,000 0 ~2005 2006 2007 2008 2009 2012 2013 2014 2015 (~2015/9/30) 図2-2. 脆弱性の深刻度別件数 2-3. 脆弱性対策情報を公表した製品の種類別件数 図 2-3 のグラフは JVN iPedia に登録済みの脆弱性対策情報を、ソフトウェア製品の種類別に件数 を集計し、年次でその推移を示したものです。最も多いのはアプリケーションに関する脆弱性対策情 報で、全件の 84.9%を占めています。 件 数 10,000 9,000 8,000 7,000 6,000 5,000 4,000 3,000 2,000 1,000 0 産業用制御システム 組込みソフトウェア アプリケーション OS 7,272 6,465 5,725 5,697 5,464 4,759 3,994 5,863 4,505 4,111 2,620 ~2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 (~2015/9/30) 図2-3. 脆弱性対策情報を公表した製品の種類別件数の公開年別推移 7 また 2007 年以降、重要インフラなどで利用される、産業用制御システムに関する脆弱性対策情報 が登録されるようになっています。これまでに累計で 708 件が登録されています(図 2-4) 。 200 160 登 録 件 数 186 120 177 80 140 94 40 0 1 8 10 2007年 2008年 2009年 70 22 2010年 2011年 2012年 2013年 2014年 図2-4. JVN iPedia 登録件数(産業用制御システムのみ抽出) 8 2015年 (~2015/9/30) 2-4. 脆弱性対策情報の製品別登録状況 表 2-4 は 2015 年第 3 四半期(7 月~9 月)に脆弱性対策情報の登録件数が多かった製品の上位 20 件を示したものです。そのうち 1 位、3 位がアップル、11 位、13 位から 18 位までがマイクロソ フトのそれぞれ OS 製品で約半数を占めています。また、2 位、4 位、9 位、10 位、12 位は Microsoft Internet Explorer、Google Chrome などのブラウザ製品であり、OS 製品とブラウザ製品が全体の 7 割を占めています。 JVN iPedia では、ランクインをしているソフトウェア製品などに関する脆弱性対策情報が多数登録 されています。製品の利用者や開発者は、自組織などで使用しているソフトウェアの脆弱性情報を迅 速に入手し、効率的な対策に役立ててください。(*11) 表 2-4. 製品別 JVN iPedia の脆弱性対策情報登録件数 順位 カテゴリ 1 OS 2 ブラウザ 3 OS 4 ブラウザ 5 動画再生ソフト 6 上位 20 件 [2015 年 7 月~2015 年 9 月] 製品名(ベンダー) 登録件数 iOS(アップル) 181 Microsoft Internet Explorer(マイクロソフト) 152 Apple Mac OS X(アップル) 134 Google Chrome(Google) 128 Adobe Flash Player(アドビシステムズ) 95 開発環境 Adobe AIR SDK & Compiler(アドビシステムズ) 92 6 開発環境 Adobe AIR SDK(アドビシステムズ) 92 6 実行環境 Adobe AIR(アドビシステムズ) 92 9 ブラウザ Mozilla Firefox(Mozilla Foundation) 72 10 ブラウザ Microsoft Edge(マイクロソフト) 65 11 OS Microsoft Windows Server 2012(マイクロソフト) 59 12 ブラウザ Mozilla Firefox ESR(Mozilla Foundation) 57 13 OS Microsoft Windows 8.1(マイクロソフト) 56 14 OS Microsoft Windows Server 2008(マイクロソフト) 55 15 OS Microsoft Windows 8(マイクロソフト) 54 16 OS Microsoft Windows RT(マイクロソフト) 52 17 OS Microsoft Windows 7(マイクロソフト) 51 18 OS Microsoft Windows Vista(マイクロソフト) 49 19 PDF 閲覧 Adobe Reader(アドビシステムズ) 45 19 PDF 閲覧・編集 Adobe Acrobat(アドビシステムズ) 45 (*11) 脆弱性情報の収集や集めた情報の活用方法についての手引きをまとめたレポート 「脆弱性対策の効果的な進め方(実践編)」を公開。 https://www.ipa.go.jp/security/technicalwatch/20150331.html 9 3. 脆弱性対策情報の活用状況 表 3-1 は 2015 年第 3 四半期(7 月~9 月)にアクセスの多かった JVN iPedia の脆弱性対策情報 の、上位 20 件を示したものです。 その製品に着目をすると、1 位は、国内でも広く利用されているスクリプト言語の「PHP」に関する 脆弱性となっています。2 位と 3 位は、スマートフォン向けアプリである「ヨドバシ」に関してで、国内 大手家電量販店のアプリであるためにアクセスが多くなっているものと考えられます。 また、脆弱性の種別に着目をすると、10 位、12 位、14 位、19 位が「クロスサイトスクリプティング の脆弱性」として 4 件、つぎに 1 位と 4 位が「OS コマンドインジェクションの脆弱性」として2件、11 位と 18 位が「ディレクトリトラバーサルの脆弱性」として2件、となっています。4件の「クロスサイ トスクリプティングの脆弱性」は、利用者のブラウザ上で悪意のあるスクリプトが実行されることにより 重要な情報を窃取されたり改ざんされたりする脆弱性です。 表 3-1.JVN iPedia の脆弱性対策情報へのアクセス 順位 ID 1 JVNDB-2015-000101 2 JVNDB-2015-000110 3 JVNDB-2015-000111 4 JVNDB-2015-000109 5 JVNDB-2013-003469 6 JVNDB-2015-000108 7 JVNDB-2015-000107 8 JVNDB-2015-000112 9 JVNDB-2015-000106 10 JVNDB-2015-000103 11 JVNDB-2014-000107 12 JVNDB-2015-000104 13 JVNDB-2015-000099 14 JVNDB-2015-000096 上位 20 件 [2015 年 7 月~2015 年 9 月] CVSS 基本値 公開日 6.8 2015/7/17 5.8 2015/8/7 4.0 2015/8/7 7.5 2015/7/29 7.5 2013/7/23 5.0 2015/7/29 7.5 2015/7/29 4.3 2015/8/12 5.0 2015/7/28 2.6 2015/7/24 4.3 2014/9/25 4.3 2015/7/24 Thetis における SQL インジェクションの脆弱性 7.5 2015/7/15 シンプルお絵描き掲示板におけるクロスサイトスクリ 5.0 2015/7/10 タイトル Windows 版 PHP における OS コマンドインジェク ションの脆弱性 Android 版「ヨドバシ」において任意の Java のメソ ッドが実行される脆弱性 Android 版「ヨドバシ」における SSL サーバ証明書 の検証不備の脆弱性 yoyaku_v41 における OS コマンドインジェクショ ンの脆弱性 Apache Struts において任意のコマンドを実行される 脆弱性 yoyaku_v41 における認証回避の脆弱性 yoyaku_v41 における任意のファイルを作成される脆 弱性 Microsoft Office における情報漏えいの問題 画像掲示板 plus のファイルアップロード処理におけ る脆弱性 Welcart におけるクロスサイトスクリプティングの脆 弱性 エスリンク製 Android アプリ「ファイルマネージャ ー」におけるディレクトリトラバーサルの脆弱性 Research Artisan Lite におけるクロスサイトスクリ プティングの脆弱性 10 順位 ID タイトル CVSS 基本値 公開日 5.0 2015/7/24 6.4 2015/7/10 5.0 2015/6/30 4.0 2015/7/15 4.3 2015/6/18 5.0 2015/6/25 プティングの脆弱性 15 JVNDB-2015-000105 16 JVNDB-2015-000097 17 JVNDB-2015-000092 18 JVNDB-2015-000098 19 JVNDB-2015-000088 20 JVNDB-2015-000090 Research Artisan Lite における認証不備の脆弱性 シンプルお絵描き掲示板における任意のファイル削除 の脆弱性 OpenEMR における認証回避の脆弱性 acmailer におけるディレクトリトラバーサルの脆弱 性 Ruby on Rails 用ライブラリ Paperclip におけるクロ スサイトスクリプティングの脆弱性 namshi/jose におけるトークンの署名検証回避の脆 弱性 注 1)CVSS 基本値の深刻度による色分け CVSS 基本値=0.0~3.9 CVSS 基本値=4.0~6.9 CVSS 基本値=7.0~10.0 深刻度=レベル I(注意) 深刻度=レベル II(警告) 深刻度=レベル III(危険) 注 2)公開日の年による色分け 2013 年以前の公開 2014 年の公開 11 2015 年の公開