• 検索結果がありません。

2011 年第 3 四半期脆弱性対策情報データベース JVN ipedia の登録状況 ( 詳細 ) 1. 脆弱性対策情報の登録状況 1.1 今四半期に登録した脆弱性の種類別件数 す 別紙 2 共通脆弱性タイプ一覧 CWE ( *12) は 脆弱性の種類を識別するための共通の脆弱性タイプの一覧で C

N/A
N/A
Info
ダウンロード
Protected

Academic year: 2022

シェア "2011 年第 3 四半期脆弱性対策情報データベース JVN ipedia の登録状況 ( 詳細 ) 1. 脆弱性対策情報の登録状況 1.1 今四半期に登録した脆弱性の種類別件数 す 別紙 2 共通脆弱性タイプ一覧 CWE ( *12) は 脆弱性の種類を識別するための共通の脆弱性タイプの一覧で C"

Copied!
5
0
0

読み込み中.... (全文を見る)

今ダウンロードする ( 5 ページ )

全文

(1)

別紙2

2011 年 第 3 四半期 脆弱性対策情報データベース JVN iPedia の登録状況(詳細)

1. 脆弱性対策情報の登録状況

1.1今四半期に登録した脆弱性の種類別件数

共通脆弱性タイプ一覧CWE*12は、脆弱性の種類を識別するための共通の脆弱性タイプの一覧で す。

CWE を用いると、ソフトウェアの多種多様にわたる脆弱性に関して、脆弱性の種類(脆弱性タイ プ)の識別や分析が可能になります。図5のグラフは、JVN iPediaへ今四半期に登録した脆弱性対策 情報を、CWEのタイプ別に分類した件数を示したものです。

件数が多い脆弱性は、CWE-119(バッファエラー)が115件、CWE-399(リソース管理の問題)

が53件、CWE-20(不適切な入力確認)が46件、CWE-79(クロスサイト・スクリプティング)が 42件、CWE-264(認可・権限・アクセス制御の問題)が32件、CWE-189(数値処理の問題)が23

件、CWE-200(情報漏えい)が20件、などとなっています。

これらは広く認知されている脆弱性の種類です。製品開発者は、これらの脆弱性に関してIPAが公 開している「セキュア・プログラミング講座*13」などを参考に、ソフトウェアの企画・設計段階か らセキュリティ実装を考慮する必要があります。なお、実習形式による脆弱性体験学習ツール

「AppGoat」*14でも効果的な学習が可能です。

1.2脆弱性に関する年別の深刻度別割合

図6のグラフはJVN iPediaに登録済みの脆弱性対策情報について、脆弱性の深刻度別の件数の公 表年別推移を示したものです。2008 年以降はレベル III(危険、CVSS 基本値=7.0~10.0)の割合が 増加傾向にあり、2010年は50%を超える割合になっています。

2011年9月30日までにJVN iPediaに登録済みの脆弱性対策情報の深刻度別割合は、レベルIII(危 険、CVSS基本値=7.0~10.0)が47%、レベルII(警告、CVSS基本値=4.0~6.9)が45%、レベルI

(注意、CVSS基本値=0.0~3.9)が8%となっています。

(*12) Common Weakness Enumeration。概要は次を参照ください。

http://www.ipa.go.jp/security/vuln/CWE.html

(*13)

http://www.ipa.go.jp/security/awareness/vendor/programmingv2/index.html

(*14) 脆弱性体験学習ツール「AppGoat」。http://www.ipa.go.jp/security/vuln/appgoat/index.html

115

53 46 42 32 23 20 10 6 6

0 20 40 60 80 100 120 140

CWE-119 CWE-399 CWE-20 CWE-79 CWE-264 CWE-189 CWE-200 CWE-89 CWE-22 CWE-310

件 数

5. 2011 年第 3 四半期に登録した脆弱性の種類別件数

CWE-119:バッファエラー CWE-399:リソース管理の問題 CWE-20 :不適切な入力確認 CWE-79 :クロスサイト・スクリプティング CWE-264:認可・権限・アクセス制御の問題 CWE-189:数値処理の問題

CWE-200:情報漏えい CWE-89 :SQLインジェクション CWE-22 :パス・トラバーサル CWE-310:暗号の問題

(2)

深刻度の高い脆弱性が多数登録されていることから、製品利用者は情報を日々収集し、製品のバー ジョンアップやセキュリティ対策パッチの適用などを速やかに行うことが必要です。

1.3 脆弱性対策情報を公表した製品の種類別件数

図7のグラフはJVN iPediaに登録済みの脆弱性対策情報について、その製品の種類別件数の公表 年別推移を示したものです。アプリケーションの脆弱性対策情報の登録が年々増加しており、2003 年の145件に対し、2010年には1,629件と10倍以上の件数に増加しています。

2008年頃からは、重要インフラなどで利用される、産業制御システム(SCADA:Supervisory Control And Data Acquisition)についても脆弱性対策情報が登録されています。2008年分として8件、2009 年分は10件、2010年分は14件、2011年分は36 件、合計68件のSCADAに関する脆弱性対策情 報を登録しています。

毎年、数多くのアプリケーションが新しく開発され、それらにおいて脆弱性が発見されており、ア プリケーションのセキュリティ対策は重要度を増しています。製品利用者は脆弱性対策情報を日々収 集し、バージョンアップやセキュリティ対策パッチの適用などを速やかに行うことが必要です。

13 55 131 192 350 393 603

851 925 1,179

1,5921,767 1,916 1,340

0 200 400

600

800

1,000

1,200

1,400

1,600 1,800 2,000 2,200

1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011

件 数

6.

脆弱性に関する年別の深刻度別割合 レベルIII(危険、CVSS基本値=7.0~10.0)

レベルII (警告、CVSS基本値=4.0~6.9)

レベルI (注意、CVSS基本値=0.0~3.9)

(~2011/9/30)

13 55 131 192

353 396 608

854 931 1,180

1,5941,768 1,933

1,365

0 200 400 600 1,000 800 1,200 1,400 1,600 1,800 2,000 2,200

1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011

件 数

7.

脆弱性対策情報を公表した製品の種類別件数の公開年別推移

SCADA

組込みソフトウェア アプリケーション OS

(~2011/9/30)

(3)

1.4 オープンソースソフトウェアの割合

図8のグラフはJVN iPediaに登録済みの脆弱性対策情報について、オープンソースソフトウェア

(OSS)とOSS以外のソフトウェアの公表年別推移を示したものです。OSSの割合の年別推移を見 ると、近年では2008年以降のOSSの割合が減少傾向となっており、2011年では26%の割合になっ ています。全体件数から見た割合は、OSSが32%、OSS以外が68%となっています。

1.5 製品開発者(ベンダー)の内訳

図9、図10のグラフは、JVN iPediaに登録済みの製品開発者(ベンダー)に関して、OSSのベン ダーの内訳とOSS以外のベンダーの内訳をそれぞれ示したものです。

OSSベンダーの内訳は、国内ベンダーが67、海外ベンダー(日本法人有り)が27、海外ベンダー

(日本法人無し)が256、合計 350ベンダーとなっています。OSS 以外は、国内ベンダーが 124、 海外ベンダー(日本法人有り)が84、海外ベンダー(日本法人無し)が 87 、合計295 ベンダーと なっています。

OSSに関しては、日本法人の無い海外ベンダーの脆弱性対策情報が数多く登録されています。OSS を利用する場合、製品のバージョンアップやセキュリティパッチの適用などのノウハウを持たない製 品利用者は、製品のサポートサービスの活用、保守契約上の取り決め等の考慮が必要です。

0 20 40 60 80 100

0 200 400 600 800 1,000 1,200 1,400 1,600 1,800 2,000 2,200

1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011

件 数

8. オープンソースソフトウェア (OSS)OSS 以外の公開年別推移

OSS以外

OSS(オープンソースソフトウェア)

OSSの割合(右目盛り)

(~2011/9/30) (%)

67 27

256

9.OSS のベンダーの内訳 国内ベンダー

海外ベンダー

(日本法人有り)

海外ベンダー

(日本法人無し)

合計 350 ベンダー

124

84 87

10.OSS 以外のベンダーの内訳 国内ベンダー

海外ベンダー

(日本法人有り)

海外ベンダー

(日本法人無し)

合計 295 ベンダー

(4)

2. 脆弱性対策情報の活用状況

JVN iPediaのアクセス数は、2010年10月~2011年9月の1年間で2,096万件となっており、月 平均で約170 万件以上のアクセスがあります。

表3は2011年第3四半期(7月~9月)にアクセスの多かったJVN iPediaの脆弱性対策情報を、

アクセス数の多い順に上位20件まで示しています。20件中15件がJVNから公表された脆弱性対策 情報です。

表4は国内の製品開発者から収集した脆弱性対策情報のアクセス数上位5件を示しています。

表3.JVN iPediaの脆弱性対策情報のアクセス数上位20件 [2011年7月~2011年9月]

# ID タイトル アクセス

CVSS

基本値 公開日 1 JVNDB-2011-002172

Apache HTTPD サ ー バ に サ ー ビ ス 運 用 妨 害

(DoS) の脆弱性 2422 7.8 2011/9/1

2 JVNDB-2011-000053

Android における SSL 証明書の表示に関する

脆弱性 1507 4.3 2011/7/29

3 JVNDB-2011-000060

Windows の URL プロトコルハンドラにおける

実行ファイル読み込みに関する脆弱性 1121 6.8 2011/8/10

4 JVNDB-2011-000052

Internet Explorer におけるクロスサイトスクリ

プティングの脆弱性 1046 2.6 2011/7/8

5 JVNDB-2011-000051

ASP.NET におけるクロスサイトスクリプティ

ングの脆弱性 908 4.3 2011/7/15

6 JVNDB-2011-000048

ALZip におけるバッファオーバーフローの脆弱

性 858 6.8 2011/6/29

7 JVNDB-2010-001740

Apache Tomcat における重要な情報を取得され

る脆弱性 847 6.4

2010/07/29

8 JVNDB-2011-000059

Mozilla Firefox におけるクロスサイトスクリプ

ティングの脆弱性 809 2.6 2011/7/28

9 JVNDB-2011-000064

Windows XP におけるサービス運用妨害 (DoS)

の脆弱性 779 4.3 2011/8/19

10 JVNDB-2011-000054

Google 検索アプライアンスにおけるクロスサ

イトスクリプティングの脆弱性 728 4.3 2011/7/15

11 JVNDB-2011-000061

Internet Explorer におけるウィンドウ偽装の脆

弱性 724 4.3 2011/8/12

12 JVNDB-2011-000050

XnView における実行ファイル読み込みに関す

る脆弱性 723 5.1

2011/07/05 13 JVNDB-2009-002319 SSL および TLS プロトコルに脆弱性 717 6.4 2009/12/14

14 JVNDB-2011-000056

Plone におけるクロスサイトスクリプティング

673 2.6 2011/7/27

(5)

# ID タイトル アクセス 数

CVSS

基本値 公開日

16 JVNDB-2011-000063 Aipo における SQL インジェクションの脆弱性 667 6.5 2011/8/16

17 JVNDB-2011-000049

Opera におけるサービス運用妨害 (DoS) の脆

弱性 659 4.3 2011/7/5

18 JVNDB-2011-000035

Java Web Start における DLL 読み込みに関す

る脆弱性 629 6.8 2011/6/10

19 JVNDB-2011-000043

一太郎シリーズにおける任意のコードが実行さ

れる脆弱性 610 9.3 2011/6/16

20 JVNDB-2007-001017

Apache HTTP Server の 413 エラーメッセー ジにおける HTTP メソッドを適切に検査しな い問題

603 4.3 2007/12/20

表4.国内の製品開発者から収集した脆弱性対策情報のアクセス数上位5件 [2011年7月~2011年9月]

# ID タイトル

アクセ ス 数

CVSS

基本値 公開日

1 JVNDB-2011-001928

JP1/Performance Management - Web Console

におけるクロスサイトスクリプティングの脆弱性 383 4.3 2011/7/26

2 JVNDB-2011-001927

HiRDB Control Manager - Agent における任意の

コマンドを実行される脆弱性 383 10.0 2011/7/26

3 JVNDB-2010-002808

Accela BizSearch の標準検索画面におけるクロ

スサイトスクリプティングの脆弱性 363 4.3 2011/5/26

4 JVNDB-2010-002807

Accela BizSearch の標準検索画面におけるクロ

スサイトスクリプティングの脆弱性 326 4.3 2011/5/26

5 JVNDB-2011-001633

Hitachi Web Server の RequestHeader ディレ クティブによるヘッダカスタマイズにおける破棄 したメモリ内のデータが参照される脆弱性

312 5.1 2011/5/26

注1)CVSS基本値の深刻度による色分け

CVSS基本値=0.0~3.9 深刻度=レベルI(注意)

CVSS基本値=4.0~6.9 深刻度=レベルII(警告)

CVSS基本値=7.0~10.0 深刻度=レベルIII(危険)

注2)公開日の年による色分け

2009年以前の公開 2010年の公開 2011年の公開

図 8 のグラフは JVN iPedia に登録済みの脆弱性対策情報について、オープンソースソフトウェア

参照

今ダウンロードする ( PDF - 5 ページ - 482.98 KB )

関連したドキュメント

令和 2 年 3 月 5 日 国家公安委員会 総 務 大 臣 経 済 産 業 大 臣 不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況 1 趣旨不正アクセス行為の禁止等に関する法律 ( 平成 11 年法律第 128 号 以下 不正アクセス禁止法 という ) 第 10 条第

Oracle WebLogic Server の脆弱性 CVE-2019-2725 に関する注 意喚起 ISC BIND 9 に対する複数の脆弱性に関する注意喚起 Confluence Server および Confluence

平成 30 年度北区政策課題研究会 ROSE 事業提案書

Google マップ上で誰もがその情報を閲覧することが可能となる。Google マイマップは、Google マップの情報を基に作成されるため、Google

原子力発電所の環境放射能測定結果(平成28年度第2四半期)について

福島第一原子力発電所 b.放射性液体廃棄物の放出量(第2四半期) (単位:Bq)

福 島 第 一 原 子 力 発 電 所

福島第一原子力発電所 射性液体廃棄物の放出量(第4四半期) (単位:Bq)

原子力発電所の環境放射能測定結果

福島第一原子力発電所 .放射性液体廃棄物の放出量(第1四半期) (単位:Bq)

原子力発電所の環境放射能測定結果

福島第一原子力発電所 放射性液体廃棄物の放出量(第3四半期) (単位:Bq)

原子力発電所の環境放射能測定結果

福島第一原子力発電所 b.放射性液体廃棄物の放出量(第4四半期) (単位:Bq)

原子力発電所の環境放射能測定結果

福島第一原子力発電所 .放射性液体廃棄物の放出量(第2四半期) (単位:Bq)