ソフトウェア等の脆弱性関連情報に関する届出状況

(1)

等

弱性関連情報

関

届出状況

い

日

公的

弱性関連情報

扱制度

あ

情報

期警

戒

経

産業省

告示

(_*₁)

基

2004

年

7 運用

い

制度

い

独立行

法人情報処理推進機構

降

IPA

一

般社団法人

JPCERT

コ

ネ

ン

降

JPCERT/CC

弱性関連情報

届出

付

弱性対策情報

公表

向

調整

業務

実施

い

報告書

2017

年

10

1 日

2017

年

12

31 日

弱性関連情

報

関

届出状況

い

記載

い

(*1)

制度発足時ソ等脆弱性関連情報扱基準 2004 経済産業省告示第235号改 2014 経済産業

省告示第110 号告示基いいた現時点次告示基いいす

ソ製品等脆弱性関連情報関す扱規程成29 経済産業省告示第19号

29 20

等

弱性関連情報

関

届出状況

[2017

年第

4 四半期

10 ～

12 ]

独立行法人情報処理推進機構技術部ン

一般社団法人JPCERTコネンン

(2)

目

1. 2017年第4四半期等弱性関連情報関届出状況 ... 1

1-1. 弱性関連情報届出状況 ... 1

1-2. 弱性修完了状況... 2

1-3. 連絡不能案件扱状況 ... 3

1-4. JVN 公表弱性い ... 4

1-4-1. 複数製品 DLL 込弱性 ... 4

1-4-2. 潜在弱性狙う攻撃注意 ... 6

2. 等弱性関扱状況 ... 8

2-1. 製品弱性 ... 8

2-1-1. 処理状況 ... 8

2-1-2. 製品種類届出件数 ... 9

2-1-3. 弱性原因影響届出件数 ... 10

2-1-4. JVN公表状況件数 ... 11

2-1-5. 調整公表数 ... 11

2-1-6. 連絡不能案件処理状況 ... 15

2-2. 弱性... 16

2-2-1. 処理状況 ... 16

2-2-2. 運営主体種類届出件数 ... 17

2-2-3. 弱性種類影響届出件数 ... 17

2-2-4. 修完了状況 ... 18

2-2-5. 長期化い届出扱経過日数 ... 20

3. 関者要望 ... 21

3-1. 運営者 ... 21

3-2. 製品開者 ... 21

3-3. 一般ンネ ... 21

3-4. 見者 ... 21

付表1. 製品弱性原因類 ... 22

付表2. 弱性類 ... 23

(3)

1. 2017

年第

4 四半期

等

弱性関連情報

関

届出状況

1-1.

弱性関連情報

届出状況

～弱性届出件数計 13,523件～

表1-1 情報期警戒

*2

降制度

2017年第4四半期降四半期

弱性関連情報届出件数届出

付開始 2004年7 8日四半

期計示い四半期

製品関届出件数

37件ン降関届出 33件合計70件

届出付開始計 13,523件内訳製品関 3,895件関 9,628件関届出全体約7割占い

1-1 過去3年間届出件数四半期推移示四半期

製品関多届出あ表1-2 過去3年間四半期

届出計 1就業日あ届出件数推移四半期 1就業日あ

届出件数 4.11件 *3

*2

情報期警戒ン

https://www.ipa.go.jp/security/ciadr/partnership_guide.html https://www.jpcert.or.jp/vh/index.html

*3 ₁ _/

86161 87 75119 921508510085 68963117116139106 91 242 92 37

51 ₂₉ ₂₉ ₃₃

2,032 2,119 2,238 2,388 2,488

3,177 3,294 3,433 3,524 3,766 3,858 3,895 8,864 8,939 9,031 9,116 9,201 9,264 9,380 9,486 9,537 9,566 9,595 9,628

0件 1,000件 2,000件 3,000件 4,000件 5,000件 6,000件 7,000件 8,000件 9,000件 10,000件 11,000件 12,000件

0件 100件 200件 300件 400件 500件 600件 700件 800件

1Q 2015

2Q 3Q 4Q 1Q

2016

2Q 3Q 4Q 1Q

2017

2Q 3Q 4Q

累計件数

四半期件数ソ製品

ソ製品累計累計

図1-1．脆弱性届出件数四半期推移

表1-2．届出件数過去3年間 2015

1Q 2Q 3Q 4Q 20161Q 2Q 3Q 4Q 20171Q 2Q 3Q 4Q

計届出件数[件] 10,896 11,058 11,269 11,504 11,689 12,441 12,674 12,919 13,061 13,33213,453

4.21

13,523 4.21

就業日あ [件/日] 4.17 4.13 4.11 4.11 4.09 4.26 4.25 4.25 4.21 4.21 4.17 4.11 表1-1．届出件数

類四半期件数計

製品 37件 3,895件

33件 9,628件

(4)

2

1-2 届出付開始 2017年12 届出件数年推移過去最

届出多年 2008年 2,622件 2017年製品 462件

142件合計604件昨年引製品届出件数

回全体 7割占い届出昨年比半減

1-2.

弱性

修

完了状況

～製品修件数計8,809件～

表1-3 四半期届出付開始

四半期製品

修完了件数示い製

品場合修完了 JVN 公表い

回避策公表修

いい場合含

四半期 JVN公表製品

件数 40件 *4 計1,704件う 6件製品開者自社製品弱性

届出届出理 JVN公表日数 45日 *5 内 5件

13%

修完了件数 23件計7,105件修完了 23

件うン修 19件 82% 当削除

4件 18% 運用回避あ修完了 23件う

運営者弱性関連情報通知 90日 *6 内修完了

14件 61% 四半期 90日内修完了割合前四半期 60件中33

件 55% 増い

1-3 届出開始 2017年12 修完了件数年推移示

い過去修完了件数最多年 2009年 1,401件 2017年

製品 322件 226件合計548件 2017年

製品修件数最多 1年

*4 _P.12

表2-3参照 *5 _JVN

公表日目安弱性扱い開始日時起算 45日い *6

対処目安運営者弱性通知 3ヶ内い

33 112 286 197 231 154 128 141 184 271 209 442 1,045 462 140 294 315 374 2,391 1,446 379 691 671 884 1,118

413 370

142 173 579

1,180 1,751 4,373

5,973

6,480 7,312

8,167 9,322

10,649 11,504

12,919 13,523

0件

2,000件

4,000件

6,000件

8,000件

10,000件

12,000件

14,000件

0件

500件

1,000件

1,500件

2,000件

2,500件

3,000件

2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017

ソ製品累計

図1-2．脆弱性関連情報届出件数推移

間届出件数

累計届出件数

表1-3．修完了 JVN公表

類四半期件数計

製品 40件 1,704件

23件 7,105件

(5)

1-3.

連絡不能案件

扱状況

制度調整機関連絡い製品開者連絡不能開者連絡糸

得当製品開者等公表情報提供求い *7 製品開者公表

3ヶ経過製品開者応答得い場合製品情報対象製品具体的

称ン公表応答得い場合情報提供期限追記

情報提供期限製品開者応答い場合当弱性情報公表向

情報期警戒ン条件満い

公表委員会 *8 踏え IPA 公表弱性情報

JVN 公表

四半期連絡不能開者新製品開者公表あ

四半期時連絡不能開者計公表件数 251件う製品情報公表い

230件 2017年12 第1回目公表委員会開催 4件弱

性情報い

*7

連絡不能開者一覧：https://jvn.jp/reply/index.html *8

連絡不能案件弱性情報公表否 IPA 組織法

当製品専門的知識経験専門家当案件利害関

11 48 83 100 79 79 66 114 112 127 140 188 235 322 67 209 209 262 586 1,322 687 513 694 759 633

624 314 226 78 335 627

989 1,654 3,055

3,808 4,435 5,241

6,127 6,900

7,712 8,261 8,809

0件

1,000件

2,000件

3,000件

4,000件

5,000件

6,000件

7,000件

8,000件

9,000件

0件

200件

400件

600件

800件

1,000件

1,200件

1,400件

2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017

ソ製品累計

図1-3. 脆弱性関連情報修正完了件数推移

間修正完了件数

(6)

4

1-4.

JVN

公表

弱性

い

1-4-1. 複数製品 DLL 込弱性

～影響製品多い弱性悪用困難～

2017年 JVN Japan Vulnerability Notes 公表 DLL 込弱性 70件

(表1-4-1) 前 2016年：42件 2015年：4件比著増い

表1-4-1．JVN 公表 DLL 込弱性一覧

# JVN番号 2017年度 DLL 弱性対策情報公開製品公開

日

第四半期 4件

1 JVN#40667528 Norton Download Manager 2/10

2 JVN#86200862 7-ZIP32.DLL 作成自己解凍書庫 2/17

3 JVN#88713190 PrimeDrive ンン 3/1

4 JVN#93699304 PhishWall ン Internet Explorer版ン 3/22

第四半期 23件

5 JVN#05340816 東芝製関連複数ン 4/14

6 JVN#54268888 花子含複数製品 4/20

7 JVN#39605485 Windows 版公的個人認証利用者ン

ン

5/9

8 JVN#12493656 的管理ン 5/19

9 JVN#75514460 防衛装備庁提供電子入開ン 5/25

10 JVN#41185163 航空自衛隊提供ンン 5/25

11 JVN#92422409 商業記電子認証ン 5/26

12 JVN#51274854 製民基帳用IC 関連複数 6/1

13 JVN#06770361 Tera Term ン 6/1

14 JVN#91170929 SaAT Netizen ン 6/2

15 JVN#08020381 SaAT Personal ン 6/2

16 JVN#24087303 環境省提供報告書作成支援ン 6/2

17 JVN#52691241 国土地理院提供複数ン 6/8

18 JVN#31236539 [Simeji Windows版(β)]文入力ン 6/8

19 JVN#67305782 CASL II 自己解凍形式ン 6/9

20 JVN#34508179 事前準備ン 6/9

21 JVN#65154137 電子納品農林水産省農業農村整備事業版

ン

6/9

22 JVN#94771799 QuickTime for Windows ン 6/13

23 JVN#09293613 OMP ン 6/23

24 JVN#01775119 文部科学省提供電子入設 6/26

25 JVN#79451345 e-Tax (WEB 版) 事前準備ン 6/28

26 JVN#23389212 法務省提供申請用総合ン 6/30

27 JVN#45134765 法務省提供 PDF署ンン 6/30

第四半期 34件

28 JVN#06337557 国土交通省提供電子成果物作成支援検査

ンン含自己解凍書庫

7/3

29 JVN#82120115 国土交通省国土技術策総合研究所提供道路工事完成

等ン

7/4

30 JVN#20409270 国土交通省国土技術策総合研究所提供道路施設基

作成ン

(7)

# JVN番号 2017年度 DLL 弱性対策情報公開製品公開

日

31 JVN#21369452 Lhaz Lhaz+ ン Lhaz Lhaz+ 作成

自己解凍書庫

7/7

32 JVN#21627267 Microsoft IME 7/7

33 JVN#29939155 コン作成自己解凍書庫 7/10

34 JVN#81676004 Windows版Mozilla Firefox Thunderbird ン 7/11

35 JVN#02852421 Yahoo! (Internet explorer 版) ン 7/12

36 JVN#42031953 FileCapsule Deluxe Portable FileCapsule Deluxe

Port-作成自己復号形式暗号

7/13

37 JVN#61502349 作成自己実行能形式暗号化 7/14

38 JVN#17523256 Tween ン 7/24

39 JVN#16136413 製PaSoRi関連複数ン 7/27

40 JVN#74554973 LhaForge ン 7/27

41 JVN#33797604 NFC 7/27

42 JVN#17788774 Baidu IME 文入力ン 8/3

43 JVN#86724730 IP Messenger ン 8/3

44 JVN#81659403 Qua station接 (Windows版) ン 8/8

45 JVN#53292345 期報告書作成支援 8/17

46 JVN#73559859 新基幹統計報告入力用ン 8/17

47 JVN#71104430 新石油輸入調査報告入力ン 8/17

48 JVN#23546631 新緊急時報告入力ン 8/17

49 JVN#18641169 TypeA 利用ンン含

自己解凍書庫

8/18

50 JVN#67954465 株式会社NTT コ提供コンPC

ン

8/22

51 JVN#30866130 商業記電子認証ン 8/23

52 JVN#87540575 Optimal Guard ン 8/25

53 JVN#11601216 機能見張番ン 8/25

54 JVN#14658714 あ～ Windows用PC自動

ン

8/25

55 JVN#14926025 ンン 8/25

56 JVN#36303528 ンン

含自己解凍書庫

8/25

57 JVN#22272314 接ン 8/25

58 JVN#26115441 遠隔ン 8/30

59 JVN#09769017 富士株式会社製複数製品 8/31

60 JVN#57205588 FENCE-Explorer ン 9/11

61 JVN#75929834 i- 6.0 ンン 9/14

第四半期 9件

62 JVN#55516206 秘文機密復号 10/1

63 JVN#58909026 秘文機密復号 10/1

64 JVN#94056834 秘文機密ン 10/1

65 JVN#97243511 簡単ン 11/2

66 JVN#71284826 HYPER SBI ン 11/9

67 JVN#08517069 Media Go Music Center for PC ン 11/2

68 JVN#30352845 Windows 版公的個人認証利用者ン

ン

12/6 69 JVN#95423049 コンン管理ン for PlayStation ン 12/2

(8)

6

DLL 込弱性 Windows ン実行時動作悪用

Windows ン実行時格納い DLL 優先的

込動作動作悪用悪意あコ含 DLL

配置 DLL 込実行

弱性利用端悪意あコ実行いう危険弱

性あ言え Windows ン実行時悪

意あ DLL 配置いう前提条件現実的厳適注意

攻撃防能あ実際悪用被害報告事例ほ

確認い

IPA 弱性関注意喚起注意喚起 Windows ン利用

注意実施一般利用者向弱性関注意広掛

弱性産業制御用い製品確認い米国DHS(国土

保安省) 制御担当 ICS-CERT 2017年公表産業制御

用い製品 DLL 込弱性対策情報 16件い

前 2014年：1件 2015年：5件 2016年：2件 2017年：16件比増傾向あ

う弱性攻撃前提条件厳いいえ影響範多岐わ

あ攻撃成際影響大い

利用者側行え対策ンン場合新規作成

保事既ン保い

移動等不審在い環境実行あ

得在内ン実行場合

内不審在い確認い対策心必要あ

1-4-2. 潜在弱性狙う攻撃注意

～知い弱性残いい見直～

日々新い弱性攻撃手法場最新情報集

要一方知い弱性対応疎いう注

意

2017年 XXE XML External Entity いう弱性届出弱性複

数件届出う 1件い既対策完了弱性対策情報 JVN

い公表い状況

XXE OWASP Top 10 - 2017 Top 10 数え何

形 XML 解析ほ Web ン影響弱性

XXE Web ン XML 解釈際処理悪用偽造

弱性攻撃手法指具体的 XML 用い DTD 型義

言語対不文列挿入 XML 解析 Web

ン誤作動来意いい悪意あ操作実行弱性

悪用場合情報漏えい運用妨害 (DoS)等攻撃

(9)

XXE 弱性ほ一般的あ新い弱性いうわ 2000年

前半確認いい弱性あ言え

多 Web ン製品弱性残いXML処理残

攻撃成い威注目い

1-4-1．XXE 弱性悪用

XXE 対策 DTD自体無効化 XML XML 例

え libxml2等側入力検証ン

実装等製品開者運営者適行う必要あ製品開者

最新弱性情報集自身提供い製品い影響無い確認影響

あ場合弱性対策利用者修版提供い

自社製品弱性自社内見困難場合あ製品弱性

製品利用者研究者等見場合あ自社製品弱

(10)

8

2. 等

弱性

関

扱状況

2-1.

製品

弱性

2-1-1. 処理状況

2-1 製品弱性届出処理状況い四半期推移示い

四半期時届出計 3,895件四半期弱性対策情報 JVN公表

40件計1,704件製品開者 JVN公表行わ個対応 0件

計37件製品開者弱性い断 3件計89件

不理 32件 *9 計445件扱い中 1,620件 1,620件

う連絡不能開者 *10 一覧新規公表あ四半期時 202

件 *11 連絡不能開者一覧公表い

扱い終了

公表：JVN 弱性対応状況公表

調整不能：公表委員会 JVN 公表適当

個対応：JVN公表行わ製品開者個対応

弱性い：製品開者弱性い断

不理：告示届出対象当い

扱い中：IPA JPCERT/CC 内容確認中製品開者調査対応中

連絡不能開者：扱い中う連絡不能開者一覧公表中

2-1. 製品弱性届出処理状況四半期推移

*9

内訳四半期届出 2件前四半期届出 30件 *10

連絡不能開者一覧公表一覧削除複数回行わ製品開者公表回数計

計い

*11

連絡不能開発者一覧公表中件数図2-1 調整不能及び連絡不能開発者合計す

公表済 1,704

1,664 1,574 1,429 1,382

37 37 36 36

89 86 85 84 83

不理

445 413 391 386 376

扱い中 1,620

1,658 1,679 1,589 1,556

合計3,895 合計3,858 合計3,766 合計3,524 合計3,433

0 500 1,000 1,500 2,000 2,500 3,000 3,500 4,000 2017

12月

2017 9月

2017 6月

2017 3月

2016 12月

扱い終了 2,275 (75)

(32) (3)

［］内数値理た届出うち公表た割合

脆弱性い

個対応37(0)

1,935

(40)

連絡不能開発者203

内数値今四半期処理終了く連絡不能開発者った件数

[45%]

[46%]

調整不能2 [47%]

連絡不能開発者200(0) 調整不能2

2,200

調整不能2(0)

1,877

調整不能2

[48%]

2,087

(11)

届出付開始四半期届出あ製品弱性3,895件う不理除い件数 3,450 件降不理除い届出い集計結果記載

2-1-2. 製品種類届出件数

2-2 2-3 届出弱性製品種類内訳 2-2 製品種類割合

2-3 過去2年間届出件数推移四半期示い

四半期届出件数いン 16件最多い

5件ン向 2件い計

ン最多 47% 占い

2-4 2-5 届出製品ン形態ン

OSS 外類い 2-4 届出計類割合 2-5 過去2年

間届出件数推移四半期示

ン除い外四半期 51% 計 58% 占

い

47%

8% 7% 5% 5% 4% 3% 3%

2%2%

14%

ンソ

ン向け

タ

ン開発実行環境

情報家電

管理ソ

OS

管理ソ

そ

(3,450件内訳括弧内前四半期数字)

図2-2．届出累計製品種類割合

(46%)

(7%)

※そタ携帯機器あす

ソ製品製品種類届出状況

(8%)

16 250件 50件 100件 150件 200件 250件 300件 350件 400件 450件 500件 550件 600件 650件 700件

1Q 2016

2Q 3Q 4Q 1Q 2017

2Q 3Q 4Q

図2-3．四半期製品種類届出件数

(過去2 間届出内訳)

35

67 128 78 58 72 192 42

18

26 538 28

69 12

42

48 ₁₇

0件 50件 100件 150件 200件 250件 300件 350件 400件 450件 500件 550件 600件 650件 700件

1Q 2016

2Q 3Q 4Q 1Q 2017

2Q 3Q 4Q

図2 -5．四半期ンソソ

届出件数四半期推移

(過去2 間届出内訳) 42%

58%

ンソソそ以外

ンソソ脆弱性届出状況

図2-4．届出累計ンソソ割合

3,450件内訳括弧内前四半期数字

(58%)

(42%)

(12)

10

2-1-3. 弱性原因影響届出件数

2-6 2-7 届出弱性原因内訳 2-6 届出計弱性原因割

合 2-7 過去2年間原因届出件数推移四半期示い *12

四半期ン弱性 16件最多い実装

不備 13件制御不備 4件い計

ン弱性過半数占い

2-8 2-9 届出弱性影響内訳 2-8 届出計影響

割合 2-9 過去2年間影響届出件数推移四半期示い

四半期任意実行 9件最多い任意コン実

行 7件任意コ実行 5件計任意実行

最多 39% 占い

*12

弱性い明い付表1 参照い 58% 5% 3% 3% 3% 2% 24% 2%

ン脆弱性名内容チッ不備ッチッ不備

証明書検証関す不備セ制御不備様不備そ実装不備

そ関連す不備

ソ製品脆弱性原因届出状況

(3,450件内訳括弧内前四半期数字) (58%)

(4%)

図2 -6．届出累計脆弱性原因割合

※そ実装不備

コンンや認証

不備あす

(5%) ※

16 4 13

0件 50件 100件 150件 200件 250件 300件 350件 400件 450件 500件 550件 600件 650件 700件

1Q 2016

2Q 3Q 4Q 1Q 2017

2Q 3Q 4Q

図2 -7．四半期脆弱性原因届出件数

35 39% 13% 9% 7% 7% 4% 4% 4% 3% 10%

任意実行

任意コン実行

情報漏洩

任意コ実行

す

ビ不能

任意へセ

タ不正操作

セ制限回避

そ

(38%)

(12%) (10%)

ソ製品脆弱性たす影響届出状況

図2 -8．届出累計脆弱性たす影響割合

9 7

5 ₀件

50件

100件

150件

200件

250件

300件

350件

400件

450件

500件

550件

600件

650件

700件

1Q 2016

2Q 3Q 4Q 1Q 2017

2Q 3Q 4Q

図2 -9．四半期脆弱性たす影響届出件数

四半期推移

(13)

2-1-4. JVN公表状況件数

2-10 届出付開始四半期対策情報 JVN公表弱性 1,704件

い理 JVN公表要日数示 45日内 30% 45

日超過件数 70% 表2-1 過去3年間い 45日内 JVN公表件数

割合推移四半期示製品開者弱性悪用場合影響認識

迅速対策講必要あ

表2-1．45日内 JVN公表件数割合推移四半期

2-1-5. 調整公表数

JPCERT/CC 制度届出弱性情報ほ海外製品開者 CSIRT

弱性情報提供国内外関者弱性対策情報公表向調整行

い *13 弱性対製品開者対応状況 IPA JPCERT/CC 共運営

い弱性対策情報 JVN Japan Vulnerability Notes URL：https://jvn.jp/

公表い表2-2 2-11 公表件数情報提供元集計四半期公表件数

過去3年四半期公表件数 *14 推移等示

表2-2．弱性提供元弱性公表件数

情報提供元

四半期

件数

計

国内外見者届出製品開者自社製品届出 JVN 公

表弱性

28件1,532件

海外CSIRT等弱性情報提供 JVN 公表弱性 22件1,578件

合計 50件 3,110件

*13 _JPCERT/CC

活動概要 Page16～22 http://www.jpcert.or.jp/pr/2018/PR20180116.pdf 参照い *14 _2-1-5

公表件数件数計い複数届出い 1件

JVN JVN

142件 105件 131件 129件 430件 252件 112件 403件

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

全体 1,704件)

0日～10日 11日～20日 21日～30日 31日～45日 46日～100日 101日～200日 201日～300日 301日～ 11～

20日

21～ 30日 30% (45日以内公表)

31～45日 46～100日 101～200日 201～ 300日

301日～

図2 -10．ソ製品脆弱性公表日数

11～

20日

21～ 30日

31～45日 46～100日 101～200日 201～ 300日

301日～

0～ 10日

4136 4233 5339 5242 2840 7431 4437 4444 3532 7230 6023 2822 1,000 1,042 1,095 1,147

1,175 1,249

1,293 1,337 1,372

1,444 1,504 1,532

1,205 1,238 1,277 1,319

1,359 1,390 1,427 1,471

1,503 1,533 1,556 1,578

0件 200件 400件 600件 800件 1,000件 1,200件 1,400件 1,600件

0件 10件 20件 30件 40件 50件 60件 70件 80件 90件 100件

1Q 2015

2Q 3Q 4Q 1Q

2016

2Q 3Q 4Q 1Q

2017

2Q 3Q 4Q

国内外発見者届出

海外 CSIRT 連絡

四半期件数累計件数

図2-11．ソ製品脆弱性対策情報公表件数

2015

1Q 2Q 3Q 4Q 20161Q 2Q 3Q 4Q 20171Q 2Q 3Q 4Q

(14)

12

1 JVN 公表届出深刻度類 “国内外見者製品開者届出

” 弱性公表

表2-3 国内見者製品開者届出い四半期 JVN公表

弱性深刻度示いン関弱性 8

件表2-3 #1 製品開者自身届自社製品弱性 3件表2-3 #2

複数開者製品影響あ弱性 3件表2-3 #3 組込製品弱

性 6件表2-4 #4 あ

表2-3．2017年第4四半期 JVN 公表弱性公表

項番弱性識番号弱性

JVN

公表日

CVSS

基値

弱性深刻度= III 危険 CVSS基値=7.0～10.0

1

(#4) JVN#23367475 Wi-Fi STATION L-02F弱性

2017年11

6日

10.0

2 JVN#18420340 BOOK☆WALKER for Windows/Mac 複数弱性

2017年11

14日

7.1

3

(#4) JVN#98295787 ワ_PTW-WMS1 複数弱性蔵 ShAirDisk

2017年11

30日

10.0

4 JVN#78501037 Movable Type用ン A-Member

A-Reserve SQL ンン弱性

2017年11

30日

7.5

弱性深刻度= II 警告 CVSS基値=4.0～6.9

5

(#2) JVN#14658424 弱性 Office 制限不備

2017年10

11日

4.0

6 JVN#55516206 秘文機密復号 DLL

込関弱性

2017年10

11日

6.8

7 JVN#58909026 秘文機密復号 DLL

込関弱性

2017年10

11日

6.8

8 JVN#94056834 秘文機密ン

DLL 込実行出関弱性

2017年10

11日

6.8

9

(#4) JVN#54795166 性 KX-HJB1000 複数弱

2017年10

17日

6.5

10

(#1) JVN#79546124 OpenAM (弱性ン版) 認証回避

2017年11

1日

6.0

11 JVN#97243511 簡単ン

DLL 込関弱性

2017年11

2日

6.8

12 JVN#71284826 HYPER SBI ン DLL 込

関弱性

2017年11

9日

6.8

13 JVN#29602086 CS-Cart日語版

ン弱性

2017年11

13日

4.0

14

(#1) JVN#05398317 WordPress_XML外部実体参照用 (XXE)ン処理TablePress弱性

2017年11

14日

4.0

15

(#4) JVN#76382932 理不備家電弱性COCOROBO ン管

2017年11

16日

4.3

16 JVN#08517069 Media Go Music Center for PC ン

DLL 込関弱性

2017年11

21日

(15)

項番弱性識番号弱性

JVN

公表日

CVSS

基値

17

(#4) JVN#73141967 PWR-Q200弱性 DNS ン

2017年11

22日

4.3

18

(#1)(#2) JVN#71291160 StreamRelay.net.exe運用妨害(DoS) sDNSProxy.exe弱性

2017年11

29日

5.0

19

(#4) JVN#65994435 複数弱性製複数線ン

2017年12

1日

4.3

20 JVN#30352845 Windows版公的個人認証利用者

ンン DLL 込

関弱性

2017年12

6日

6.8

21

(#1)(#3) JVN#67389262 Qt for Androidン弱性 OSコンン

2017年12

11日

5.1

22

(#1)(#3) JVN#27342829 弱性Qt for Android 環境変数改能

2017年12

11日

5.1

23

(#1)(#2) JVN#84182676 H2O 複数弱性 2017₁₈日年12

5.0

24(#1) JVN#93333702 OneThird CMS

弱性

2017年12

19日

4.0

25 JVN#95423049 コンン管理ン for PlayStation

ン DLL 込関弱性

2017年12

22日

6.8

26 JVN#60695371 Music Center for PC ン DLL

込関弱性

2017年12

22日

6.8

27

(#1)(#3) JVN#45494523 MQTT.js問題 PUBLISH 扱い関

2017年12

25日

4.0

弱性深刻度= I 注意 CVSS基値=0.0～3.9

28 JVN#87886530 LAN DISKコネ運用妨害

(DoS) 弱性

2017年11

6日

3.3

2 海外CSIRT等弱性情報提供 JVN 公表弱性

表2-4 四半期 JPCERT/CC 海外CSIRT等連携扱弱性公表い

対応状況示四半期弱性情報22件公表

Android関連製品 OSS 組込製品弱性関調整活動製品開者所

在圏調整機関特韓国 KrCERT/CC 中国 CNCERT/CC 湾

TWNCERT 連携近年増えい情報 JPCERT/CC製品開者 *15

録製品開者通知うえ JVN 掲載い

表2-4．海外CSIRT等連携弱性対応状況

項番弱性対応状況

1 Dnsmasq 複数弱性複数製品開者調整

2 NXP Semiconductors 製 MQX RTOS 複数弱性注意喚起掲載

3 AssetView AssetView PLATINUM 複数弱性特製品開者調整

(16)

14

項番弱性対応状況

4 Adobe Flash Player 型混 (Type Confusion) 弱性注意喚起掲載

5 Infineon 製 RSA RSA 鍵適生成い問題注意喚起掲載

複数製品開者通知

6 Wi-Fi Protected Access II (WPA2) ンい Nonce

ン鍵再利用問題

複数製品開者調整

7 楽々楽々 for 一太郎破壊弱性

特製品開者調整

8 GNU Wget 複数弱性複数製品開者調整

9 Trend Micro Control Manager 複数弱性特製品開者調整

10 複数 Apple 製品弱性対注意喚起掲載

11 IEEE P1735 弱性複数製品開者調整

12 Savitech 製 USB CA 証明書許

ン問題

注意喚起掲載

13 Packetbeat 運用妨害 (DoS) 弱性特製品開者調整

14 Microsoft Office 数式弱性

注意喚起掲載

15 Windows 8 降ンい空間配置

ン化適行わい弱性

注意喚起掲載

16 Install Norton Security for Mac SSL 証明書検証不備弱性

注意喚起掲載

17 QND Advance/Standard 弱性特製品開者調整

18 Apple macOS High Sierra 無効化いン対認証

回避問題

注意喚起掲載

19 Fluentd ンンン弱性特製品開者調整

20 複数 TLS 実装い Bleichenbacher 攻撃対策不十あ問題

複数製品開者調整

21 複数 Apple 製品弱性対注意喚起掲載

(17)

2-1-6. 連絡不能案件処理状況

2-12 2011年9 四半期連絡不能開者置扱

251件処理状況推移示

製品開者公表製品開者公表製品開者応答い

追情報公表製品公表い四半期新公表あ

製品開者調整再開調整中四半期調整

完了い変動あ

結果四半期時連絡不能案件 + 200件前四半期200件調整再開

案件 + 49件

公表委員会 JVN公表適当あ JVN公表案件

い四半期公表案件あ

連絡不能開発者一覧製品開発者連絡い脆弱性

製品開発者名公表製品開発者連絡求た

製品名公表製品関係者連絡求た

調整不能案件

JVN公表

調整再開案件

製品開発者連絡あ脆弱性対応係調整再開た案件

調整中

製品開発者接触調整着手

調整完了

2017

第3四半期

200件

1件 199件

49件

23件 26件

2 件

合計

251件

2017

第4四半期

200件

1件 199件

49件

23件 26件

2 件

合計

251件

公表定委員会

公表良い定

連絡不能案件製品開者連絡い製品弱性届出

調整再開

(18)

16

2-2.

弱性

2-2-1. 処理状況

2-13 弱性届出処理状況い四半期推移示

四半期時届出計 9,628件四半期中扱い終了 40件

計9,229件う修完了 23件計7,105件注意喚起

処理 *16 0件計1,130件 IPA 運営者

弱性い断 12件計578件運営者連絡手段

い扱不能断 3件計175件運営

者連絡通常行い連絡い場合電郵送連絡行い

不理 2件 *17 計241件扱い終了計9,229件う

修完了弱性い合計 7,683 件全運営者報告

IPA 断指摘解消い確認修

完了う運営者当削除 4件計1,021件

運営者運用被害回避 0件計30件

扱い終了

修完了：運営者弱性修

当削除：修完了う当削除

運用回避：修完了う運用被害回避い

注意喚起： IPA 注意喚起広対策実施処理

弱性い： IPA 運営者弱性い断

扱不能：運営者回答扱いい

運営者対応い断

運営者連絡手段い断

不理：告示届出対象当い

扱い中： IPA 内容確認中運営者調査対応中

2-13. 弱性届出処理状況四半期推移

*16

多数い利用い製品修適用いい

い届出あ場合効果的周知徹底注意喚起公表あう場

合注意喚起届出処理 *17

内訳四半期届出 2件前四半期届出 0件

修正完了7,105

7,082 7,022 6,984 6,879

注意喚起

1,130 1,130 1,130 1,130 1,130

578 566 553 548 545

172 145 143 139

239 238 237 231

399 406 478 495 562

合計9,628件合計9,595件合計9,566件合計9,537件合計9,486件

0 1,000 2,000 3,000 4,000 5,000 6,000 7,000 8,000 9,000 10,000

2017 12月

2017 9月

2017 6月 2017

3月

2016 12月

扱い終了 9,229(40)

(23)

脆弱性い

扱い中扱不能175(3) 不理241(2)

(12)

当該削除

1,021(4)

運用回避

30(0) [75%]

内数値今四半期処理終了た件数

［］内数値理た届出うち修正完了た割合

[74%]

9,189

[76%]

8,924

[75%]

9,042

[76%]

(19)

届出付開始四半期届出あ弱性9,628 件う不

理除い件数 9,387 件降不理除い届出い集計結果記載

2-2-2. 運営主体種類届出件数

2-14 届出弱性運営主体種類い過去2年間届出件

数推移四半期示い四半期届出 31件あう約7割企業

占い

2-2-3. 弱性種類影響届出件数

2-15 2-16 届出弱性種類内訳 2-15 届出種類割合

2-16 過去2年間届出件数推移四半期示い *18

四半期約半数占ン 21件最多い

SQL ンン 3件い計

ン 56% 占い DNS情報設不備 SQL ンン

い DNS情報設不備 14% 2008年 2009年多届出

映い統計制度届出傾向あ世中在

弱性傾向必一あ

*18 ₂

0件 20件 40件 60件 80件 100件 120件

1Q 2016

2Q 3Q 4Q 1Q

2017

2Q 3Q 4Q

不明個人政府機関

教育学術機関

団体

地方公共団体

企業そ

企業株式非場

企業株式場

図2-14．四半期運営主体種類届出件数

56%

14% 11%

3%3% 2%

11% ン

DNS情報設定不備

SQL ンン

誤った公開

HTTPS 不適利用

そ

(56%)

(15%) (11%)

脆弱性種類届出状況

図2-15．届出累計脆弱性種類割合

21 3 2

0件 20件 40件 60件 80件 100件 120件

1Q 2016

2Q 3Q 4Q 1Q 2017

2Q 3Q 4Q

図2-16．四半期脆弱性種類届出件数

(20)

18

2-17 2-18 届出弱性影響内訳 2-17 届出影響割

合 2-18 過去2年間届出件数推移四半期示い

四半期物偽情報表示 21件最多い改

消去 3件内漏洩 2件 2件

い計物偽情報表示ン情報挿入改

消去全体 8割占いン

DNS情報設不備 SQL ンン生

2-2-4. 修完了状況

2-19 過去3年間弱性修完了件数四半期示い

四半期修完了届出23件う 14件 61% 運営者弱性関連

情報通知 90日内修完了割合前四半期 60件中33件

55% 増い表2-6 過去3年間修完了全届出う

運営者通知 90日内修完了弱性計割合四半期

示四半期割合 66%

54%

14% 12%

4% 4%

2%2% 8%

物へ偽情報表示

ン情報挿入

タ改消去

内漏洩

個人情報漏洩

す

Cookie情報漏洩

そ

(54%)

(15%) (12%)

脆弱性たす影響届出状況

図2-17．届出累計脆弱性たす影響割合

21

3 2₂

0件 20件 40件 60件 80件 100件 120件

1Q 2016

2Q 3Q 4Q 1Q 2017

2Q 3Q 4Q

図2-18．四半期脆弱性たす影響届出件数

31

33 14

918 ₁ 8

253

158 129

84 98

78 78

60 105

38 60 23 6,194 6,352 6,481 6,565 6,663 6,741

6,819 6,879 6,984 7,022 7,082 7,105

0件 1,000件 2,000件 3,000件 4,000件 5,000件 6,000件 7,000件

-50件 50件 150件 250件 350件

1Q 2015

2Q 3Q 4Q 1Q

2016

2Q 3Q 4Q 1Q

2017

2Q 3Q 4Q

四半期件数 0-90日以内 91-300日以内 301日以完了件数(四半期計) 完了件数(累計) 累計件数

図2-19．脆弱性修正完了件数

表2-6．90日内修完了計割合推移

2015

1Q 2Q 3Q 4Q 20161Q 2Q 3Q 4Q 20171Q 2Q 3Q 4Q

修完了件数 6,194 6,352 6,481 6,565 6,663 6,741 6,819 6,879 6,984 7,022 7,082 7,105

90日内件数 4,184 4,260 4,303 4,341 4,387 4,425 4,471 4,514 4,602 4,613 4,646 4,660

(21)

2-20 2-21 運営者弱性関連情報通知修要

日数弱性種類類傾向示い *19 全体 48% 届出 30日

内全体 66% 届出 90日内修い

*19

運営者修完了報告あ弱性修 IPA 断含示

い 0日弱性関連情報通知当日修運営者弱性関連情

7% 5%

3% _3% 4%

9% 10%

7%

9% 9%

12%

7% 15%

0件 200件 400件 600件 800件 1,000件 1,200件

0日 1日 2日 3日 4日

～5日 6日

～10日 11日

～20日 21日

～30日 31日

～50日 51日

～90日 91日

～200日 201日

～300日 301日～そ (409件)

第者中継(45件)

OSコンンン(79件) セッン管理不備(86件) 認証関す不備(98件)

HTTP ン割(104件) 誤った公開(179件)

(205件)

DNS情報設定不備(546件)

SQL ンン(858件)

ン (4,496件)

図2 -20．修正要た日数

66%(90日以内修正) 48%(30日以内修正)

0% 20% 40% 60% 80% 100%

そ (409件) 第者中継(45件)

OSコンンン(79件) セッン管理不備(86件) 認証関す不備(98件)

HTTP ン割(104件) 誤った公開(179件)

(205件)

DNS情報設定不備(546件)

SQL ンン(858件) ン (4,496件)

0～10日 11日～20日 21日～30日 31日～50日 51日～90日 91日～200日 201日～300日 301日～

(22)

20

2-2-5. 長期化い届出扱経過日数

運営者弱性修報告い場合 IPA 1～2ヶ毎

電郵送手段運営者繰返連絡試弱性対策実施

い

2-22 弱性う扱い長期化い IPA

運営者弱性関連情報通知 90日修報告無いい経過

日数件数示合計 333件前四半期 342件前四半期

減少いう SQL ンンいう深刻度高い弱性割合全

体約18% 占い弱性情報窃う危険

性高い

表2-7 過去2年間四半期時扱い中届出扱い長期化い届出件

数割合示い

表2-7．扱い長期化い届出件数割合四半期推移

2016

1Q 2Q 3Q 4Q 20171Q 2Q 3Q 4Q

扱い中件数 568 518 548 561 494 477 406 399

長期化い件数 436 401 388 374 387 376 342 333

長期化い割合 77% 78% 71% 67% 78% 79% 84% 83%

2 6 8 4 ₅ 1 1 1 4

129

5 3 ₁ ₁ ₁ ₃

48

4 1 3 3 2 3 2 5 1

86

6 ₇ 16 10 7 5 4 ₇ 8

263

0件

20件

40件

60件

80件

100件

120件

140件

160件

180件

200件

220件

240件

260件

280件

90～

199日

200～

299日

300～

399日

400～

499日

500～

599日

600～

699日

700～

799日

800～

899日

900～

999日

1000日

以そ

SQL ンン

ン

図2 -22．扱い長期化(90日以経過) い届出扱経過日数脆弱性種類

(23)

3. 関

者

要望

弱性修進各関者要望

3-1.

運営者

多利用い製品弱性見い自身

う製品利用い把握弱性対策実施事

必要弱性理解対策あ IPA 提供コンン利用

⇒ 知い？弱性いい： https://www.ipa.go.jp/security/vuln/vuln_contents/

⇒ 安全作方：https://www.ipa.go.jp/security/vuln/websecurity.html

⇒ 安全 SQL 出方：https://www.ipa.go.jp/security/vuln/websecurity.html

⇒ Web Application Firewall ：https://www.ipa.go.jp/security/vuln/waf.html

⇒ 安全構築運用管理向 16ヶ条～対策ン～

https://www.ipa.go.jp/security/vuln/websitecheck.html

⇒ IPA 弱性対策コンンン https://www.ipa.go.jp/files/000051352.pdf

弱性診断実施あコンン利用

⇒ 健康診断様：https://www.ipa.go.jp/security/vuln/websecurity.html

⇒ 動画知う！ン被害！約7 ：

https://www.ipa.go.jp/security/keihatsu/videos/index.html#eng

3-2.

製品開

者

JPCERT/CC 製品弱性関連情報製品開者基一般

公表日調整等行い迅速調整進う製品開者録

い URL：https://www.jpcert.or.jp/vh/regist.html 製品開者自身自社製品弱性関連

情報見場合対策情報利用者周知 JVN 活用

JPCERT/CC IPA 連絡い

製品開あコンン利用

⇒ 組込組 2010年度改訂版：

https://www.ipa.go.jp/security/fy22/reports/emb_app2010/

⇒ ン：製品出荷前知弱性う：https://www.ipa.go.jp/security/vuln/fuzzing.html

⇒ Android 弱性学習検 AnCoLe ：https://www.ipa.go.jp/security/vuln/ancole/index.html

3-3.

一般

ン

ネ

JVN IPA JPCERT/CC 弱性情報対策情報公表い参照

適用自的対策日心必要あ

利用場合弱性対策実施利用い

一般ンネ向提供い

⇒ MyJVN 弱性対策情報集：http://jvndb.jvn.jp/apis/myjvn/mjcheck.html

弱性対策情報効率的集

⇒ MyJVN ン：http://jvndb.jvn.jp/apis/myjvn/vccheck.html

⇒ MyJVN ン for .NET ：http://jvndb.jvn.jp/apis/myjvn/vccheckdotnet.html

利用者 PC ン製品ン容易等機能

3-4.

見者

弱性関連情報適流通届出弱性関連情報い弱性修

(24)

22

付表1. 製品弱性原因類

弱性原因明

届出い

想威

1 制御不備

制御行う個所い

制御如い

設情報漏洩

通信不中

任意実行

認証情報漏洩

2 ン弱性

ン対入力

情報内容解釈認証情報扱い

出力時処理問題あ

ン攻撃 SQL ン

ン攻撃利用

う

制限回避

価格等改

不能

資源枯

要情報漏洩

情報漏洩

ン

通信不中

任意コン実行

任意実行

任意

認証情報漏洩

3 様不備

RFC 等公開規格準拠設

計実装結果問題生

不能

資源枯

4 証明書検証関

不備

ン

証明書検証機能実装

いい検証行わ

偽証明書いう

証明書確認不能

5

コン適用不備

来厳い制限あコン

扱う処理緩い制限

コン処理

う

ン異常終了

情報漏洩

任意コ実行

任意実行

6

不備

想外長入力行わ場合長

入力

う攻撃

利用う

不能

任意コ実行

任意コン実行

7 内容不備

処理際指

い

内容いい任意

指

い攻撃

利用う破損

不書換え

処理際不具合生

ン異常終了

不能

資源枯

任意

(25)

付表2. 弱性類

弱性種類深刻度明

届出い

想威

1 誤公

開

高

一般公開い公

開自由閲覧状態

い

個人情報漏洩

内漏洩

改消去

2 高

入力処理際

指い

変更

任意指

う

内漏洩

3 ･

高権超え来許い範

外

個人情報漏洩

内漏洩

4 ン管理不

備

高

ン管理推測能情報使

用い情報容

易推測

利用

Cookie情報漏洩

個人情報漏洩

5 SQL ンン

高

入力 SQL コン

入力

内情報閲覧更新削除

個人情報漏洩

内漏洩

改消去

6 DNS情報設不備高

DNS 不適情報録

い第者ン

持主あうふえ

う

ン情報挿入

7 ン中

外部第者

中利用

不際元

隠踏う

踏

8 ･

ン

中

Cookie情報知いう

転送偽情報表示

う罠ン

個人情報等盗

Cookie情報漏洩

内漏洩

個人情報漏洩

改消去

物偽情報

表示

9 中

罠誘導

録

録情報変更商

品購入

改消去

10 HTTP ン割

中

攻撃者対悪意あ要求

送信う向

応答

割応答内容替え

対偽表示

情報替え

11 設

不適変更

中

対ン

う指示

ン PC 設

利用者

12 不適

利用

中

設置

悪意あン踏

表示う

踏

物偽情報

(26)

24

弱性種類深刻度明

届出い

想威

13 ン回

避

中

機能提供い

ン機能回避問題

来制限

閲覧う

利用者

14 OSコンンン

中

攻撃者ン介

OSコン実行

い内閲覧

操作不実

行行わう

任意コン実行

15 第者中

利用者入力内容管理者指

送信機能

外部利用者先

自由指い迷惑送

信踏悪用

不利

用

16 HTTPS 不適利用

HTTPS 暗号化い暗

号選択設十

明間違

いあ設計

証明書確認い

17 価格等改

ンい価格情報

等利用者側書換え書換

え被害側限

改

API : Application Program Interface CGI : Common Gateway Interface DNS : Domain Name System HTTP : Hypertext Transfer Protocol

HTTPS : Hypertext Transfer Protocol Security ISAKMP : Internet Security Association

Key Management Protocol

MIME : Multipurpose Internet Mail Extension

RFC : Request For Comments SQL : Structured Query Language SSI : Server Side Include SSL : Secure Socket Layer

TCP : Transmission Control Protocol URI : Uniform Resource Identifier URL : Uniform Resource Locator

付．情報期警戒弱性関連情報扱制度

付析機関

産総研

析支援機関

セキ対策推進協議会等公表日決定

海外調整機関連携等報告た

脆弱性関連情報内容確認検証

ソ

製品脆弱性

脆弱性発見者

脆弱性関連情報届出

脆弱性関連情報通知

対応状況集約公表日調整等

個人情報漏えい時事実関係公表対応状況等公表

政府

情報セキ早期警戒ッ

脆弱性関連情報届出

調整機関

脆弱性対策情報タ

企業

個人

※IP脆野独立行法人情報処理推進機構 JPCERT/CC:一般社団法人JPCERTコネンン産総研：国立研究開法人産業技術総合研究所

運営者

検証対策実施

ソ製品開発者

検証対策実施

導入支援者

期待効果

製品開者及運営者弱性対策進

不用意弱性関連情報公表弱性置抑制