ソ
等
弱性関連情報
関
届出状況
い
日
公的
弱性関連情報
扱制度
あ
情報セ
期警
戒
経
産業省
告示
(*1)
基
2004
年
7
運用
い
制度
い
独立行
法人情報処理推進機構
降
IPA
一
般社団法人
JPCERT
コ
ネ
ンセン
降
JPCERT/CC
弱性関連情報
届出
付
弱性対策情報
公表
向
調整
業務
実施
い
報告書
2018
年
1
1
日
2018
年
3
31
日
弱性関連情報
関
届出状況
い
記載
い
(*1)
制度発足時 ソ 等脆弱性関連情報 扱基準 2004 経済産業省告示第235号改 2014 経済産業
省告示第110 号 告示 基 い い た 現時点 次 告示 基 い い す
ソ 製品等 脆弱性関連情報 関す 扱規程 成29 経済産業省告示第19号
付機関及び調整機関 定 告示 成29 経済産業省告示第20号
ソ
等
弱性関連情報
関
届出状況
[2018
年第
1
四半期
1
~
3
]
独立行 法人情報処理推進機構 技術 部 セ セン
一般社団法人JPCERTコ ネ ンセン
目
1. 2018年第1四半期 ソ 等 弱性関連情報 関 届出状況 ... 1
1-1. 弱性関連情報 届出状況 ... 1
1-2. 弱性 修 完了状況... 2
1-3. 連絡不能案件 扱状況 ... 2
2. ソ 等 弱性 関 扱状況 ... 3
2-1. ソ 製品 弱性 ... 3
2-1-1. 処理状況 ... 3
2-1-2. ソ 製品 種類 届出件数 ... 4
2-1-3. 弱性 原因 影響 届出件数 ... 5
2-1-4. JVN公表状況 件数 ... 6
2-1-5. 調整 公表 数 ... 6
2-1-6. 連絡不能案件 処理状況 ... 10
2-2. 弱性... 11
2-2-1. 処理状況 ... 11
2-2-2. 運営主体 種類 届出件数 ... 12
2-2-3. 弱性 種類 影響 届出件数 ... 12
2-2-4. 修 完了状況 ... 13
2-2-5. 長期化 い 届出 扱経過日数 ... 15
3. 関 者 要望 ... 16
3-1. 運営者 ... 16
3-2. 製品開 者 ... 16
3-3. 一般 ン ネ ... 16
3-4. 見者 ... 16
付表1. ソ 製品 弱性 原因 類 ... 17
付表2. 弱性 類 ... 18
1
1.
2018
年第
1
四半期
ソ
等
弱性関連情報
関
届出状況
1-1.
弱性関連情報
届出状況
~ 弱性 届出件数 計 13,661件 ~
表1-1 情報セ 期警戒
*2
降 制度
2018年第1四半期 降 四半期
弱性関連情報 届出件数 届出
付開始 2004年7 8日 四半
期 計 示 い 四半期
ソ 製品 関 届出件数
51件 ン 降 関 届出 87件 合計138件
届出 付開始 計 13,661件 内訳 ソ 製品 関 3,946
件 関 9,715件 関 届出 全体 約7割 占 い
1-1 過去3年間 届出件数 四半期 推移 示 四半期 ソ
製品 関 多く 届出 あ 表1-2 過去3年間 四半期
届出 計 1就業日あ 届出件数 推移 四半期 1就業日あ
届出件数 4.08件 *3
*2
情報セ 期警戒 ン
https://www.ipa.go.jp/security/ciadr/partnership_guide.html https://www.jpcert.or.jp/vh/index.html
*3 1
就業日あ 届出件数 計届出件数 / 届出 付開始 就業日数 算出
877511992150 851008568963117116139106 91 51 24229 92 29 37 33 51 87 2,119 2,238 2,388 2,488
3,177 3,294 3,433 3,524 3,766 3,858 3,895 3,946 8,939 9,031 9,116 9,201 9,264 9,380 9,486 9,537 9,566 9,595 9,628 9,715
0件
1,000件
2,000件
3,000件
4,000件
5,000件
6,000件
7,000件
8,000件
9,000件
10,000件
11,000件
12,000件
0件
100件
200件
300件
400件
500件
600件
700件
800件
2Q 2015
3Q 4Q 1Q
2016
2Q 3Q 4Q 1Q
2017
2Q 3Q 4Q 1Q
2018
累計件数
四半期件数 ソ 製品
ソ 製品 累計 累計
図1-1.脆弱性 届出件数 四半期 推移
表1-2.届出件数 過去3年間
2015
2Q 3Q 4Q 20161Q 2Q 3Q 4Q 20171Q 2Q 3Q 4Q 20181Q
計届出件数[件] 11,058 11,269 11,504 11,689 12,441 12,674 12,919 13,061 13,332 13,453 4.21
13,523 4.21
13,661 4.21 1就業日あ [件/日] 4.13 4.11 4.11 4.09 4.26 4.25 4.25 4.21 4.21 4.17 4.11 4.08
表1-1.届出件数
類 四半期件数 計
ソ 製品 51件 3,946件
87件 9,715件
2
1-2.
弱性
修
完了状況
~ ソ 製品 修 件数 計8,896件 ~
表1-3 四半期 届出 付開始
四半期 ソ 製品
修 完了件数 示 い ソ
製品 場合 修 完了
JVN 公表 い 回避策 公表
修 い い場合 含
四半期 JVN公表 ソ 製品
件数 50件 *4 計1,754件 う 1件 製品開 者 自社製品 弱
性 届出 届出 理 JVN公表 日数 45日 内 3件
6%
修 完了 件数 37件 計7,142件 修 完了 37
件 う ン 修 33件 89% 当 削除
3件 8% 運用 回避 1件 3% 修 完了 37件 う
運営者 弱性関連情報 通知 90日 *5 内 修 完了
29件 78% 四半期 90日 内 修 完了 割合 前四半期 23件中14
件 61% 増加 い
1-3.
連絡不能案件
扱状況
制度 調整機関 連絡 い製品開 者 連絡不能開 者 連絡 糸
口 得 当 製品開 者 等 公表 情報提供 求 い *6 製品開 者 公表
3ヶ 経過 製品開 者 応答 得 い場合 製品情報 対象製品 具体的
称 ン 公表 応答 得 い場合 情報提供 期限 追記
情報提供 期限 製品開 者 応答 い場合 当 弱性情報 公表 向
情報セ 期警戒 ン 条件 満 い
公表 委員会 *7 踏 え IPA 公表 弱性情報
JVN 公表
四半期 連絡不能開 者 新 製品開 者 公表 あ
四半期 時 連絡不能開 者 計公表件数 251件 公表 委員会
経 9件 弱性情報 JVN 公表
*4 P.7
表2-3参照
*5
対処 目安 運営者 弱性 通知 3ヶ 内 い
*6
連絡不能開 者一覧:https://jvn.jp/reply/index.html
*7
連絡不能案件 弱性情報 公表 否 IPA 組織 法 セ
当 ソ 製品 専門的 知識 経験 専門家 当 案件 利害関
い者 構成 い
表1-3.修 完了 JVN公表
類 四半期件数 計
ソ 製品 50件 1,754件
37件 7,142件
3
2.
ソ
等
弱性
関
扱状況
2-1.
ソ
製品
弱性
2-1-1. 処理状況
2-1 ソ 製品 弱性届出 処理状況 い 四半期 推移 示 い
四半期 時 届出 計 3,946件 四半期 弱性対策情報 JVN公表
50件 計1,754件 製品開 者 JVN公表 行わ 個 対応 1件
計38件 製品開 者 弱性 い 断 2件 計91件
不 理 9件 *8 計454件 扱い中 1,609件 1,609件 う
連絡不能開 者 *9 一覧 新規 公表 あ 四半期 時 202件
*10
連絡不能開 者一覧 公表 い
扱い終了
公表 :JVN 弱性 対応状況 公表
調整不能 :公表 委員会 JVN 公表 適当
個 対応 :JVN公表 行わ 製品開 者 個 対応
弱性 い :製品開 者 弱性 い 断
不 理 :告示 届出 対象 当 い
扱い中 :IPA JPCERT/CC 内容確認中 製品開 者 調査 対応中
連絡不能開 者 : 扱い中 う 連絡不能開 者一覧 公表中
2-1. ソ 製品 弱性 届出処理状況 四半期 推移
*8
全 前四半期 届出
*9
連絡不能開 者一覧 公表 一覧 削除 複数回行わ 製品開 者 公表回数 計
計 い
*10
連絡不能開発者一覧 公表中 件数 図2-1 調整不能 及び 連絡不能開発者 合計 す
公表済 1,754 1,704 1,664 1,574 1,429
37 37 37 36
91 89 86 85 84
不 理
454 445 413 391 386
扱い中1,609 1,620 1,658 1,679 1,589
合計3,946 合計3,895 合計3,858 合計3,766 合計3,524
0 500 1,000 1,500 2,000 2,500 3,000 3,500 4,000 2018
3月 2017 12月 2017 9月 2017
6月 2017
3月
2,337
(9) (2)
[ ]内 数値 理 た届出 うち公表 た割合
脆弱性 い
個 対応38(1)
2,087
50
連絡不能開発者203
内 数値 今四半期 処理 終了 く 連絡不能開発者 った件数 [46%]
[47%]
調整不能2
[48%]
連絡不能開発者191(-9) 調整不能2
2,275
調整不能11(9)
1,935
連絡不能開発者200 調整不能2
[49%] 2,200
連絡不能開発者203
連絡不能開発者200
[50%]
調整不能2
扱い終了 ( 62)
4
届出 付開始 四半期 届出 あ ソ 製品 弱性3,946件 う
不 理 除い 件数 3,492 件 降 不 理 除い 届出 い 集計 結果 記載
2-1-2. ソ 製品 種類 届出件数
2-2 2-3 届出 弱性 製品種類 内訳 2-2 製品種類 割合
2-3 過去2年間 届出件数 推移 四半期 示 い
四半期 届出件数 い ンソ 12件 最 多く い
ン向 8件 情報家電 7件 い 計
ンソ 最 多く46% 占 い
2-4 2-5 届出 製品 セン 形態 ンソ ソ
OSS 外 類 い 2-4 届出 計 類割合 2-5 過去2年
間 届出件数 推移 四半期 示
四半期 い ンソ ソ 届出 11件あ 計 42% 占
い
46%
8% 7%
5% 4% 4% 3% 3% 2%2%
16% ンソ
ン向け タ
ン開発実行環境
情報家電 管理ソ OS
管理ソ そ
(3,492件 内訳 括弧内 前四半期 数字)
図2 -2.届出累計 製品種類 割合
(47%)
(7%)
※そ タ 携帯機器 あ す
ソ 製品 製品種類 届出状況
(8%)
12 8 7
0件
50件
100件
150件
200件
250件
300件
350件
400件
450件
500件
550件
600件
650件
700件
2Q 2016
3Q 4Q 1Q 2017
2Q 3Q 4Q 1Q 2018
図2 -3.四半期 製品種類 届出件数
(過去2 間 届出内訳)
51
128 78 58 72 191 40 16 40 536 28
69 12 42
48 16 11
0件
50件
100件
150件
200件
250件
300件
350件
400件
450件
500件
550件
600件
650件
700件
2Q 2016
3Q 4Q 1Q 2017
2Q 3Q 4Q 1Q 2018
図2 -5. 四半期 ンソ ソ
届出件数
四半期 推移
(過去2 間 届出内訳)
42%
58%
ンソ ソ
そ 以外
ン ソ ソ 脆弱性 届出状況
図2 -4.届出累計 ンソ ソ 割合
3,492件 内訳 括弧内 前四半期 数字
(58%)
(42%)
5
2-1-3. 弱性 原因 影響 届出件数
2-6 2-7 届出 弱性 原因 内訳 2-6 届出 計 弱性 原因 割
合 2-7 過去2年間 原因 届出件数 推移 四半期 示 い *11
四半期 ン 弱性 20件 実装 不備 20件
最 多く い 証明書 検証 関 不備 6件 い 計
ン 弱性 過半数 占 い
2-8 2-9 届出 弱性 影響 内訳 2-8 届出 計 影響
割合 2-9 過去2年間 影響 届出件数 推移 四半期 示 い
四半期 任意 コ ン 実行 13件 最 多く い 任意
実行 10件 情報 漏洩 9件 計 任意 実行 最
多く 38% 占 い
*11
弱性 い 明 い 付表1 参照 く い
58% 5% 3% 3% 3% 2% 24% 2%
ン 脆弱性 名 内容 チ ッ 不備 ッ チ ッ 不備
セ 制御 不備 証明書 検証 関す 不備
様 不備 そ 実装 不備 そ 関連す 不備
ソ 製品 脆弱性 原因 届出状況
(3,492件 内訳 括弧内 前四半期 数字)
(58%)
(3%)
図2 -6.届出累計 脆弱性 原因 割合
※そ 実装 不備
コ ン ンや認証
不備 あ す
(5%)
※
20 6 20
0件
50件
100件
150件
200件
250件
300件
350件
400件
450件
500件
550件
600件
650件
700件
2Q 2016
3Q 4Q 1Q 2017
2Q 3Q 4Q 1Q 2018
図2 -7. 四半期 脆弱性 原因 届出件数
(過去2 間 届出内訳) 51 38% 13% 10% 7% 7% 4% 4% 4% 3% 10%
任意 実行
任意 コ ン 実行 情報 漏洩 任意 コ 実行
す ビ 不能
任意 へ セ
タ 不正操作
セ 制限 回避 そ
(3,492件 内訳 括弧内 前四半期 数字)
(39%)
(13%) (9%)
ソ 製品 脆弱性 た す影響 届出状況
図2 -8.届出累計 脆弱性 た す影響 割合
1013 9
0件 50件 100件 150件 200件 250件 300件 350件 400件 450件 500件 550件 600件 650件 700件
2Q 2016
3Q 4Q 1Q 2017
2Q 3Q 4Q 1Q 2018
図2 -9.四半期 脆弱性 た す影響
届出件数
四 半期 推移 (過去2 間 届出内訳)
6
2-1-4. JVN公表状況 件数
2-10 届出 付開始 四半期 対策情報 JVN公表 弱性 1,754件
い 理 JVN公表 要 日数 示 45日 内 29% 45
日 超過 件数 71% 表2-1 過去3年間 い 45日 内 JVN公表 件数
割合推移 四半期 示 製品開 者 弱性 悪用 場合 影響 認識
迅速 対策 講 必要 あ
表2-1.45日 内 JVN公表 件数 割合推移 四半期
2-1-5. 調整 公表 数
JPCERT/CC 制度 届 出 弱性情報 ほ 海外 製品開 者 CSIRT
弱性情報 提供 国内外 関 者 弱性対策情報 公表 向 調整 行
い *12 弱性 対 製品開 者 対応状況 IPA JPCERT/CC 共 運営
い 弱性対策情報 JVN Japan Vulnerability Notes URL:https://jvn.jp/
公表 い 表2-2 2-11 公表件数 情報提供元 集計 四半期 公表件数
過去3年 四半期 公表件数 *13 推移等 示
表2-2. 弱性 提供元 弱性公表 件数
情報提供元
四半期
件数
計
国内外 見者 届出 製品開 者 自社製品 届出 JVN 公
表 弱性
37件1,569件
海外CSIRT等 弱性情報 提供 JVN 公表 弱性 16件1,594件
合計 53件3,163件
*12 JPCERT/CC
活動概要 Page16~22 http://www.jpcert.or.jp/pr/2018/PR20180412.pdf 参照 い
*13 2-1-5
公表 件数 件数 計 い 複数 届出 い 1件
公表 場合 あ 届出 JVN公表件数 JVN公表 数 異 件数
142件 106件131件 131件 431件 255件 126件 432件
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 全体
1,754件)
0日~10日 11日~20日 21日~30日 31日~45日 46日~100日 101日~200日 201日~300日 301日~ 11~
20日
29% (45日以内 公表)
46~100日 101~200日 201~ 300日
301日~
図2 -10.ソ 製品 脆弱性公表日数
11~ 20日
21~ 30日
31~45日 46~100日 101~200日 201~ 300日
301日~ 0~
10日
4233 5339 5242 2840 7431 4437 4444 3532 7230 6023 2822 3716
1,042 1,095 1,147 1,175
1,249 1,293 1,337
1,372 1,444 1,504
1,532 1,569 1,238 1,277 1,319 1,359 1,390
1,427 1,471 1,503 1,533 1,556
1,578 1,594
0件 200件 400件 600件 800件 1,000件 1,200件 1,400件 1,600件
0件 10件 20件 30件 40件 50件 60件 70件 80件 90件 100件
2Q 2015
3Q 4Q 1Q 2016
2Q 3Q 4Q 1Q 2017
2Q 3Q 4Q 1Q 2018 国内外 発見者 届出 海外 CSIRT 連絡
四半期件数 累計件数
図2-11. ソ 製品 脆弱性対策情報 公表件数
2015
2Q 3Q 4Q 20161Q 2Q 3Q 4Q 20171Q 2Q 3Q 4Q 20181Q
7
1 JVN 公表 届出 深刻度 類 “国内外 見者 製品開 者 届出
” 弱性公表
表2-3 国内 見者 製品開 者 届出 い 四半期 JVN公表
弱性 深刻度 示 い ンソ ソ 関 弱性 7
件 表2-3 #1 製品開 者自身 届 自社製品 弱性 1件 表2-3 #2
組込 ソ 製品 弱性 5件 表2-4 #3 あ
表2-3.2018年第1四半期 JVN 公表 弱性公表
項番 弱性識 番号 弱性
JVN
公表日
CVSS
基 値
弱性 深刻度= III 危険 CVSS基 値=7.0~10.0
1
(#3) JVN#97144273 WXR-1900DHP2 複数 弱性 201826年日2
8.3
2 JVN#92259864 Tiny FTP Daemon 弱性
2018年3 13日
10.0
3 JVN#87226910 WebProxy 弱性
2018年3 13日
7.5
4
(#3) JVN#93397125 WZR-1750DHP2 複数 弱性 201829年日3
8.3
5
(#1) JVN#72589538 弱性LXR OSコ ン ン ン
2018年3 29日
7.5
弱性 深刻度= II 警告 CVSS基 値=4.0~6.9
6 JVN#57842148 Lhaplus ZIP64形式 展開 検証
不備 弱性
2018年1 11日
4.3
7 JVN#10103841 Android Nootka OSコ ン ン
ン 弱性
2018年1 19日
5.1
8 JVN#26255241 申込 設
v6申込 設
ン DLL 込 関 弱性
2018年1 22日
6.8
9 JVN#91393903 epg 検索結果 時間軸 表示(kkcald) 複
数 弱性
2018年2 1日
6.8
10
(#1) JVN#15643848 Spring Security弱性 Spring Framework 認証回避
2018年2 2日
5.0
11
(#1) JVN#99312352 WordPress用 ン MTS Simple Booking Cン 弱性
2018年2 2日
4.3
12
(#3) JVN#36048131 MagicalFinder ( 製複数 機器ン ) OS対応コ ン
ン ン 弱性
2018年2 6日
5.2
13 JVN#70615027 安心ネ セ (Windows版) ン
DLL 込 関 弱性
2018年2 6日
6.8
14 JVN#15462187 MP Form Mail CGI eCommerce 版 OSコ
ン ン ン 弱性
2018年2 8日
6.8
15 JVN#04564808 あ ~ ン
DLL 込 関 弱性
2018年2 13日
8
項番 弱性識 番号 弱性
JVN
公表日
CVSS
基 値
16 JVN#87403477 v4/v6 選択
ン ン 含 自己解凍書庫
DLL 込 関 弱性
2018年2 13日
6.8
17 JVN#28865183 ン 株式会社製 複数 製品 DLL
込 関 弱性
2018年2 15日
6.8
18
(#3) JVN#83834277 FS010W 複数 弱性 201822年日2
4.0
19
(#2) JVN#75453852 iOS版弱性LINE SSL 証明書 検証不備
2018年2 22日
4.0
20
(#1) JVN#56132776 Jubatus 複数 弱性 20182日年3
6.8
21 JVN#71816327 JTrim ン DLL 込 関
弱性
2018年3 5日
6.8
22 JVN#01837169 WinShot ン DLL 込
関 弱性
2018年3 5日
6.8
23
(#1) JVN#33527174 WordPress用 ン ンWP All Import弱性
2018年3 8日
4.3
24
(#3) JVN#15201064 CG-WGR1200 複数 弱性 20189日年3
5.8
25 JVN#30864198 ArsenoL ン
弱性
2018年3 13日
4.3
26 JVN#64990648 QQQ SYSTEMS
ン 弱性
2018年3 13日
4.3
27 JVN#96655441 QQQ SYSTEMS
ン 弱性
2018年3 13日
4.3
28 JVN#46471407 QQQ SYSTEMS
ン 弱性
2018年3 13日
4.3
29 JVN#48774168 PHP 2chBBS
ン 弱性
2018年3 13日
4.3
30 JVN#56764650 ViX DLL 込 関 弱性 2018年3
13日
6.8
31 JVN#22536871 QQQ SYSTEMS OSコ ン ン
ン 弱性
2018年3 13日
6.8
32 JVN#39896275 PhishWall ン Windows用 Firefox
Chrome版 ン DLL 込
関 弱性
2018年3 15日
6.8
33 JVN#43382653 Android iRemoconWiFi SSL
証明書 検証不備 弱性
2018年3 27日
4.0
34 JVN#01161596 Safari ン ン
弱性
2018年3 30日
5.8
弱性 深刻度= I 注意 CVSS基 値=0.0~3.9
35 JVN#26200083 GroupSession ン
弱性
2018年1 19日
2.6
36
(#1) JVN#30636823 WordPress用 ン ンWP Retina 2x弱性
2018年1 30日
9
項番 弱性識 番号 弱性
JVN
公表日
CVSS
基 値
37
(#1) JVN#60032768 WordPress用 ン ンWP All Import弱性
2018年3 8日
2.6
2 海外CSIRT等 弱性情報 提供 JVN 公表 弱性
表2-4 四半期 JPCERT/CC 海外CSIRT等 連携 扱 弱性 公表 い
対応 状況 示 四半期 弱性情報16件 公表
Android関連製品 OSS 組 込 製品 弱性 関 調整活動 製品開 者 所
在 圏 調整機関 特 韓国 KrCERT/CC 中国 CNCERT/CC 湾
TWNCERT 連携 近年増え い 情報 JPCERT/CC製品開 者
*14
録 製品開 者 通知 うえ JVN 掲載 い
表2-4.海外CSIRT等 連携 弱性 対応状況
項番 弱性 対応状況
1 CPU 対 ネ 攻撃 注意喚起 掲載
複数製品開 者 通知
2 複数 Apple 製品 弱性 対 注意喚起 掲載
3 ISC BIND 9 運用妨害 (DoS) 弱性 注意喚起 掲載
複数製品開 者 通知
4 ISC DHCP 運用妨害 (DoS) 弱性 注意喚起 掲載
複数製品開 者 通知
5 複数 Apple 製品 弱性 対 注意喚起 掲載
6 Pulse Secure Linux GUI SSL 証明書 検証不備 弱 性
注意喚起 掲載
7 Quagga bgpd 複数 弱性 複数製品開 者 調整
8 Apache Tomcat 複数 弱性 対 注意喚起 掲載
複数製品開 者 通知
9 複数 SAML 認証回避 弱性 注意喚起 掲載
10 Apache Tomcat JK ISAPI Connector 弱性 注意喚起 掲載
複数製品開 者 通知
11 ン製 CX-Supervisor 複数 弱性 特 製品開 者 調整
12 Apache HTTP Web Server 2.4 複数 弱性 対 注意喚起 掲載
複数製品開 者 通知
13 OpenSSL 複数 弱性 注意喚起 掲載
複数製品開 者 通知
14 Navarino Infinity ン 複数 弱性 注意喚起 掲載
15 複数 Apple 製品 弱性 対 注意喚起 掲載
16 Meltdown 向 適 用 Windows 7 x64 Windows
Server 2008 R2 x64 ネ 適 保護 い 弱性
注意喚起 掲載
*14 JPCERT/CC
10
2-1-6. 連絡不能案件 処理状況
2-12 2011年9 四半期 連絡不能開 者 置 扱
251件 処理状況 推移 示
製品開 者 公表 製品開 者 公表 製品開 者 応答 い
追加情報 公表 製品 公表 い 四半期 新 公表 あ
製品開 者 調整 再開 調整中 四半期 調整
完了 い 変動 あ 公表 委員会 JVN 公表 適当
あ JVN公表 案件 い 9件
結果 四半期 時 連絡不能案件 + 191件 前四半期200件 調整再開
案件 + 49件 公表 委員会 JVN公表 適当 あ JVN公
表 案件 11件 前四半期2件
連 絡 不能開発者一覧 製品開発者 連絡 い脆弱性
製 品開発者名公表 製品開発者 連絡 求 た
製 品名公表 製品関係者 連絡 求 た
調 整不能案件
JVN公表
調 整 再開案件
製品開発者 連絡 あ 脆弱性対応 係 調整 再開 た案件
調 整中
製品開発者 接触 調整着手
調 整完了
2017
第4四 半 期
200件
1件 199件
49件
23件 26件
2 件
合 計 251件
2018
第1四 半 期
191件
1件 190件
49件
23件 26件
11 件
合 計 251件
公 表 定委員会
公表 良い 定
調整再開
調整再開
調整再開
11
2-2.
弱性
2-2-1. 処理状況
2-13 弱性届出 処理状況 い 四半期 推移 示
四半期 時 届出 計 9,715件 四半期中 扱い 終了 58件
計9,287件 う 修 完了 37件 計7,142件 注意喚起
処理 *15 0件 計1,130件 IPA 運営者
弱性 い 断 7件 計585件 運営者 連絡手段
い 扱不能 断 13件 計188件 運営
者 連絡 通常 行い 連絡 い場合 電 郵送 連絡 行 い
不 理 1件 *16 計242件 扱い 終了 計9,287件 う
修 完了 弱性 い 合計 7,727 件 全 運営者 報告
く IPA 断 指摘 解消 い 確認 修
完了 う 運営者 当 削除 3件 計1,024件
運営者 運用 被害 回避 1件 計31件
扱い終了
修 完了 : 運営者 弱性 修
当 削除 : 修 完了 う 当 削除
運用 回避 : 修 完了 う 運用 被害 回避 い
注意喚起 : IPA 注意喚起 広く対策実施 処理
弱性 い : IPA 運営者 弱性 い 断
扱不能 : 運営者 回答 く 扱い い
運営者 対応 い 断
運営者 連絡手段 い 断
不 理 : 告示 届出 対象 当 い
扱い中 : IPA 内容確認中 運営者 調査 対応中
2-13. 弱性 届出処理状況 四半期 推移
*15
多数 い 利用 い ソ 製品 修 適用 い い
い 届出 あ 場合 効果的 周知徹底 注意喚起 公表 あ う 場
合 注意喚起 届出 処理
*16
内訳 四半期 届出 0件 前四半期 届出 1件
修正完了7,142
7,105 7,082 7,022 6,984
注意喚起 1,130 1,130 1,130 1,130 1,130
585 578 566 553 548
175 172 145 143
241 239 238 237
428 399 406 478 495
合計9,715件 合計9,628件 合計9,595件 合計9,566件 合計9,537件
0 1,000 2,000 3,000 4,000 5,000 6,000 7,000 8,000 9,000 10,000
2018 3月 2017 12月 2017 9月 2017
6月 2017
3月
扱い終了 9,287(58) (37)
脆弱性 い
扱い中
扱不能188(13) 不 理242(1)
(7)
当該 削除
1,024(3)
運用 回避
31(1) [75%]
内 数値 今四半期 処理 終了 た件数 [ ] 内 数値 理 た届出 うち修正完了 た割合
[75%]
9,229
[76%]
9,042
[76%]
9,088
[75%]
12
届出 付開始 四半期 届出 あ 弱性9,715 件 う 不
理 除い 件数 9,473 件 降 不 理 除い 届出 い 集計 結果 記載
2-2-2. 運営主体 種類 届出件数
2-14 届出 弱性 運営主体 種類 い 過去2年間 届出件
数 推移 四半期 示 い 四半期 届出 87件あ う 約4割 企業
占 い 地方公共団体 団体 届出 増加 い
2-2-3. 弱性 種類 影響 届出件数
2-15 2-16 届出 弱性 種類 内訳 2-15 届出 種類 割合
2-16 過去2年間 届出件数 推移 四半期 示 い *17
四半期 SQL ン ン 35件 最 多く い
ン 25件 誤 公開 8件 い 計
ン 55% 占 い DNS情報 設 不備 SQL ン
ン い DNS情報 設 不備 14% 2008年 2009年
多く届出 映 い 統計 制度 届出 傾向 あ
世 中 存在 弱性 傾向 必 一 あ
*17
弱性 い 明 い 付表2 参照 く い
0件
20件
40件
60件
80件
100件
120件
2Q 2016
3Q 4Q 1Q 2017
2Q 3Q 4Q 1Q 2018 不明
個人 政府機関
教育 学術機関
団体
地方公共団体 企業 そ
企業 株式 非 場
企業 株式 場
図2-14. 四半期 運営主体 種類 届出件 数
55%
14% 12%
3%2% 2%
12% ン
DNS情報 設定不備 SQL ン ン
誤った公開 HTTPS 不適 利用 そ
(9,473件 内訳 括弧内 前四半期 数字)
(56%)
(14%) (11%)
脆弱性 種類 届出状況
図2-15. 届出累計 脆弱性 種類 割合
25 35
8
0件
20件
40件
60件
80件
100件
120件
2Q 2016
3Q 4Q 1Q 2017
2Q 3Q 4Q 1Q 2018
図2-16. 四半期 脆弱性 種類 届出件数
(過去2 間 届出内訳)
13
2-17 2-18 届出 弱性 影響 内訳 2-17 届出 影響 割
合 2-18 過去2年間 届出件数 推移 四半期 示 い
四半期 改 消去 35件 最 多く い 物 偽情
報 表示 26件 内 漏洩 9件 い 計 物
偽情報 表示 ン情報 挿入 改 消去 全体 8割 占
い ン DNS情報 設 不備 SQL
ン ン 生
2-2-4. 修 完了状況
2-19 過去3年間 弱性 修 完了件数 四半期 示 い
四半期 修 完了 届出37件 う 29件 78% 運営者 弱性関連
情報 通知 90日 内 修 完了 割合 前四半期 23件中14件
61% 増加 い 表2-6 過去3年間 修 完了 全届出 う
運営者 通知 90日 内 修 完了 弱性 計 割合 四半期
示 四半期 割合 66%
54%
14% 12%
4% 4%
2%2% 8%
物 へ 偽情報 表示 ン情報 挿入
タ 改 消去
内 漏洩
個人情報 漏洩 す
Cookie情報 漏洩
そ
(54%)
(14%) (12%)
脆弱性 た す影響 届出状況
図2 -17.届出累計 脆弱性 た す影響 割合
(9,473件 内訳 括弧内 前四半期 数字)
26
35
9
0件
20件
40件
60件
80件
100件
120件
2Q 2016
3Q 4Q 1Q 2017
2Q 3Q 4Q 1Q 2018
図2 -18.四半期 脆弱性 た す影響 届 出 件数
(過去2 間 届出内訳)
87
14 29 1 8 2 6
158 129
84 98 78
78 60
105 38
60
23 37 6,352 6,481 6,565 6,663 6,741 6,819 6,879 6,984 7,022 7,082
7,105 7,142
0件
1,000件
2,000件
3,000件
4,000件
5,000件
6,000件
7,000件
-50件
50件
150件
250件
350件
2Q 2015
3Q 4Q 1Q
2016
2Q 3Q 4Q 1Q
2017
2Q 3Q 4Q 1Q
2018
四半期件数 0-90日以内 91-300日以内 301日以 完了件数(四半期計) 完了件数(累計) 累計件数
図2-19. 脆弱性 修正完了 件数
表2-6.90日 内 修 完了 計 割合 推移
2015
2Q 3Q 4Q 20161Q 2Q 3Q 4Q 20171Q 2Q 3Q 4Q 20181Q
修 完了件数 6,352 6,481 6,565 6,663 6,741 6,819 6,879 6,984 7,022 7,082 7,105 7,142
90日 内 件数 4,260 4,303 4,341 4,387 4,425 4,471 4,514 4,602 4,613 4,646 4,660 4,689
14
2-20 2-21 運営者 弱性関連情報 通知 修 要
日数 弱性 種類 類 傾向 示 い *18 全体 47% 届出 30日
内 全体 66% 届出 90日 内 修 い
*18
運営者 修 完了 報告 あ 弱性 修 IPA 断 含 示
い 0日 弱性関連情報 通知 当日 修 運営者 弱性関連情
報 通知 前 修
6% 5%
3% 3%
4% 9%
10%
7%
9% 10%
12%
7% 15%
0件
200件
400件
600件
800件
1,000件
1,200件
0日 1日 2日 3日 4日 ~5日
6日 ~10日
11日 ~20日
21日 ~30日
31日 ~50日
51日 ~90日
91日 ~200日
201日 ~300日
301日~
そ (413件)
第 者中継(45件)
OSコ ン ン ン(79件)
セッ ン 管理 不備(86件) 認証 関す 不備(98件)
HTTP ン 割(104件)
誤った公開(181件)
(207件)
DNS情報 設定不備(547件)
SQL ン ン(866件)
ン (4,516件)
図2 -20. 修正 要 た日数
66%(90日以内 修正)
47%(30日以内 修正)
0% 20% 40% 60% 80% 100%
そ (413件) 第 者中継(45件)
OSコ ン ン ン(79件)
セッ ン 管理 不備(86件) 認証 関す 不備(98件)
HTTP ン 割(104件)
誤った公開(181件)
(207件)
DNS情報 設定不備(547件)
SQL ン ン(866件)
ン (4,516件)
0~10日 11日~20日 21日~30日 31日~50日 51日~90日 91日~200日 201日~300日 301日~
15
2-2-5. 長期化 い 届出 扱経過日数
運営者 弱性 修 報告 い場合 IPA 1~2ヶ 毎
電 郵送 手段 運営者 繰 返 連絡 試 弱性対策 実施
い
2-22 弱性 う 扱い 長期化 い IPA
運営者 弱性関連情報 通知 90日 修 報告 無い い 経過
日数 件数 示 合計 329件 前四半期 333件 前四半期
減少 い う SQL ン ン いう深刻度 高い 弱性 割合 全
体 約20% 占 い 弱性 情報 窃 う 危険
性 高い
表2-7 過去2年間 四半期 時 扱い中 届出 扱い 長期化 い 届出 件
数 割合 示 い
表2-7. 扱い 長期化 い 届出件数 割合 四半期 推移
2016
2Q 3Q 4Q 20171Q 2Q 3Q 4Q 20181Q
扱い中 件数 518 548 561 495 478 406 399 428
長期化 い 件数 401 388 374 387 376 342 333 329
長期化 い 割合 78% 71% 67% 78% 79% 84% 83% 77%
6 2 6 8 1 5 1 1
123
5 3 1
1 1
50
6 4 1 3 2 2 3 2 5
87
12 6 7 16 6 8 4 4 6
260
0件 20件 40件 60件 80件 100件 120件 140件 160件 180件 200件 220件 240件 260件 280件
90~ 199日
200~ 299日
300~ 399日
400~ 499日
500~ 599日
600~ 699日
700~ 799日
800~ 899日
900~ 999日
1000日 以 そ
SQL ン ン ン
図2 -22. 扱い 長期化(90日以 経過) い 届出 扱経過日数 脆弱性 種類
16
3.
関
者
要望
弱性 修 進 各関 者 要望
3-1.
運営者
多く 利用 い ソ 製品 弱性 見 い 自身
う ソ 製品 利用 い 把握 弱性対策 実施 事
必要 弱性 理解 対策 あ IPA 提供 コン ン 利用
⇒ 知 い ? 弱性 い く い : https://www.ipa.go.jp/security/vuln/vuln_contents/
⇒ 安全 作 方 :https://www.ipa.go.jp/security/vuln/websecurity.html
⇒ 安全 SQL 出 方 :https://www.ipa.go.jp/security/vuln/websecurity.html
⇒ Web Application Firewall :https://www.ipa.go.jp/security/vuln/waf.html
⇒ 安全 構築 運用管理 向 16ヶ条 ~セ 対策 ン ~
https://www.ipa.go.jp/security/vuln/websitecheck.html
⇒ IPA 弱性対策コン ン ン https://www.ipa.go.jp/files/000051352.pdf
弱性診断実施 あ コン ン 利用
⇒ 健康診断 様 :https://www.ipa.go.jp/security/vuln/websecurity.html
⇒ 動画 知 う! ン 被害! 約7 :
https://www.ipa.go.jp/security/keihatsu/videos/index.html#eng
3-2.
製品開
者
JPCERT/CC ソ 製品 弱性関連情報 製品開 者 基 一般
公表日 調整等 行い 迅速 調整 進 う 製品開 者 録 く
い URL:https://www.jpcert.or.jp/vh/regist.html 製品開 者自身 自社製品 弱性関連
情報 見 場合 対策情報 利用者 周知 JVN 活用
JPCERT/CC く IPA 連絡 く い
製品開 あ コン ン 利用
⇒ IoT開 セ 設計 手引 :https://www.ipa.go.jp/security/iot/iotguide.html
⇒ IoT製品 弱性対応 :https://www.ipa.go.jp/files/000065095.pdf
⇒ ン :製品出荷前 知 弱性 う :https://www.ipa.go.jp/security/vuln/fuzzing.html
3-3.
一般
ン
ネ
JVN IPA JPCERT/CC 弱性情報 対策情報 公表 い 参照
適用 自 的 セ 対策 日 心 必要 あ ソ
利用 場合 弱性対策 実施 利用 く い
一般 ン ネ 向 提供 い
⇒ MyJVN 弱性対策情報 ン 集 mjcheck3 :https://jvndb.jvn.jp/apis/myjvn/mjcheck3.html
弱性対策情報 効率的 集
⇒ MyJVN ン :https://jvndb.jvn.jp/apis/myjvn/vccheck.html
⇒ MyJVN ン for .NET :https://jvndb.jvn.jp/apis/myjvn/vccheckdotnet.html
利用者 PC ン ソ 製品 ン 容易 等 機能
3-4.
見者
弱性関連情報 適 流通 届出 弱性関連情報 い 弱性 修
17
付表1. ソ 製品 弱性 原因 類
弱性 原因 明
届出 い
想 威
1 セ 制 御 不
備
セ 制御 行う 個所 い
セ 制御 如 い
設 情報 漏洩 通信 不 中継
任意 実行
認証情報 漏洩
2 ン 弱性
ン 対 入力
情報 内容 解釈 認証情報 扱い
出力時 処理 問題 あ
ン 攻撃 SQL ン
ン 攻撃 利用
う
セ 制限 回避 価格等 改
不能 資源 枯
要情報 漏洩 情報 漏洩
セ ン
通信 不 中継
任意 コ ン 実行
任意 実行
任意 セ
認証情報 漏洩
3 様 不備
RFC 等 公開 規格 準拠 設
計 実装 結果 問題 生
不能 資源 枯
4 証 明 書 検 証 関 不備
ン ソ 証 明 書 検 証 機 能 実 装
い い 検証 く行わ
偽 証明書 い う
証明書 確認不能
5
セ コ ン
適 用 不備
来 厳 い制限 あ セ コン
扱う 処理 緩い制限
セ コ ン 処 理
う
ン 異常終了 情報 漏洩
任意 コ 実行
任意 実行
6
不備
想 外 長 入力 行わ 場合 長
入 力
う 攻撃
利用 う
不能
任意 コ 実行
任意 コ ン 実行
7 内 容 不備
処 理 際 指
い
内容 い い 任意
指
い 攻撃
利用 う 破損
不 書 換 え
処理 際 不具合 生
ン 異常終了 不能
資源 枯
任意 セ
18
付表2. 弱性 類
弱性 種類 深刻度 明
届出 い
想 威
1 誤 公
開
高
一 般 公 開 い 公
開 自由 閲覧 状態
い
個人情報 漏洩
内 漏洩
改 消去
2 高
入 力 処 理 際
指 い
変更
任 意 指
う
内 漏洩
3 ・
高 セ 権 超え 来許 い 範
外 セ
個人情報 漏洩
内 漏洩
4 セ ン 管 理 不
備
高
セ ン管理 推測 能 情報 使
用 い 情報 容
易 推測
利用
Cookie情報 漏洩
個人情報 漏洩
5 SQL ン
ン
高
入力 SQL コ ン
入力 内 情報 閲覧 更新 削除
個人情報 漏洩
内 漏洩
改 消去
6 DNS情報 設 不備 高
DNS 不適 情報 録
い 第 者 ン
持 主 あ う ふ え
う
ン情報 挿入
7 ン 中
外部 第 者
セ 中 継 利 用
不 セ 際 セ 元
隠 踏 う
踏
8 ・
ン
中
Cookie情報 知 いう
転送 偽 情報 表示
う 罠 ン
個人情報等 盗
Cookie情報 漏洩
内 漏洩
個人情報 漏洩
改 消去
物 偽 情 報
表示
9 中
罠 誘導
録
セ 録情報 変更 商
品 購入
改 消去
10 HTTP ン
割
中
攻撃者 対 悪意 あ 要求
送 信 う 向
応答
割 応答内容 替え
対 偽 表 示
情 報 替え
11 セ 設
不適 変更
中
対 ソ ン
セ う 指 示
ン PC セ 設
利 用 者 セ
12 不 適
利用
中
設 置
悪 意 あ ン 踏
表示 う
踏
物 偽 情 報
19
弱性 種類 深刻度 明
届出 い
想 威
13 ン 回
避
中
機 能 提 供 い
ン 機 能 回 避 問 題 来制限
閲覧 う
利 用 者 セ
14 OSコ ン ン
ン
中
攻 撃 者 ン 介
OSコ ン 実行
い 内 閲覧
操作 不 実
行 行わ う
任意 コ ン 実行
15 第 者中継
利 用 者 入 力 内 容 管 理 者 指
送信 機能
外 部 利 用 者 先
自由 指 い 迷惑 送
信 踏 悪用
不 利 用
16 HTTPS 不 適
利用
HTTPS 暗号化 い 暗
号 選択 設 十
明 間 違
い あ 設計
証明書 確認 い
17 価格等 改
ン い 価格情報
等 利用者側 書 換え 書 換
え 被害 側 限
改
API : Application Program Interface CGI : Common Gateway Interface DNS : Domain Name System HTTP : Hypertext Transfer Protocol
HTTPS : Hypertext Transfer Protocol Security ISAKMP : Internet Security Association
Key Management Protocol
MIME : Multipurpose Internet Mail Extension
RFC : Request For Comments SQL : Structured Query Language SSI : Server Side Include SSL : Secure Socket Layer
TCP : Transmission Control Protocol URI : Uniform Resource Identifier URL : Uniform Resource Locator
付 1. 情報セ 期警戒 弱性関連情報 扱制度
付 析機関
産総研
析支援機関
セキ 対策推進協議会等 公表日 決定
海外 調整機関 連携等 報告 た
脆弱性関連情報 内容確認検証
ソ
製品 脆弱性
脆弱性
発 見 者
脆弱性関連 情報届出
脆弱性関連 情報通知
脆弱性関連情報通知
対応状況 集約 公表日 調整等
個人情報 漏えい時 事実関係 公表 対応状況等 公表
政府
情報セキ 早期警戒 ッ
脆弱性関連 情報届出
調整機関
脆弱性対策情報 タ
企業
個人
※IP脆野独立行 法人情報処理推進機構 JPCERT/CC:一般社団法人JPCERTコ ネ ンセン 産総研:国立研究開 法人産業技術総合研究所
運営者
検証 対策実施
ソ
製品開発者
検証 対策実施
導入支援者
期待効果
製品開 者及 運営者 弱性対策 進
不用意 弱性関連情報 公表 弱性 置 抑制