脆弱性対策情報データベースJVN iPediaの登録状況

プレスリリース 2010 年 7 月 21 日 独立行政法人情報処理推進機構

脆弱性対策情報データベース JVN iPedia の登録状況[2010 年第 2 四半期（4 月～6 月）]

～ 古い脆弱性対策情報についても定期的な確認と対策を ～ IPA（独立行政法人情報処理推進機構、理事長：藤江 一正）セキュリティセンターは、2010 年 第 2 四半期（4 月～6 月）の脆弱性対策情報データベース「JVN iPedia」（ジェイブイエヌ アイ・ ペディア）の登録状況をまとめました。 (1) 古い脆弱性対策情報についても定期的な確認と対策を JVN iPedia の脆弱性対策情報の中で 2009 年 7 月から 2010 年 6 月までの 1 年間にアクセスの多か った上位 20 件と四半期毎の推移を発表しました（詳細は別紙 1 の表 3.と 4.参照）。この表のうち、 長期間上位に位置している（アクセス数が多い）情報には、脆弱性の影響を受ける製品の数が多い傾 向があります。また、このような脆弱性対策情報は、時間経過とともに影響を受ける製品やベンダー 情報等が更新される場合があります。古い脆弱性でも情報の更新に注意し、改めて未対策の脆弱性が ないか確認するとともに、存在する場合は早急な対策実施が必要です。 (2) NIST の脆弱性データベースからの翻訳登録件数が 7,500 件を突破 2010 年第 2 四半期に、脆弱性対策情報データベース「JVN iPedia（ http://jvndb.jvn.jp/ ）」日本語 版に登録した脆弱性対策情報は 438 件でした。内訳は、国内製品開発者から収集したものが 10 件（累 計 98 件）、脆弱性対策情報ポータルサイト JVN1_{から収集したものが 38 件（累計 787 件）、米国国立} 標準技術研究所 NIST2_{の脆弱性データベース「NVD}3_{」から、IPA が日本国内に影響があると判断し、} 収集・翻訳したものが 390 件（累計 7,561 件）です。2007 年 4 月 25 日の公開開始からの登録件数の 累計は 8,446 件となりました。 (3) 日本国内で使用されている製品の脆弱性対策情報を多数公開 JVN iPedia 日本語版には様々な製品の脆弱性対策情報が登録されています。製品種類別に登録の多 い情報は、OS に関するものが 2,694 件、デスクトップアプリケーションやミドルウェアなどのアプ リケーションに関するものが 5,575 件となっています。他にも、ルータやスイッチなどのアプライア ンス製品に搭載された組込みソフトウェアに関するものが 158 件、監視制御システム（SCADA4_）に ついては 19 件が登録されています。

IPA が提供している MyJVN（ http://jvndb.jvn.jp/apis/myjvn/ ）では、ベンダー名や製品（ソフトウ ェア）名から、それに該当する脆弱性対策情報を容易に検索することが可能です。このツールを活用 し、脆弱性対策を早期に実施することを推奨します。

1

Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、シ ステムのセキュリティ対策を支援しています。IPA、JPCERT/CC が共同で運営しています。 http://jvn.jp/

2

National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における 計測と標準に関する研究を行う機関。 http://www.nist.gov/

3

National Vulnerability Database。NIST が運営する脆弱性データベース。 http://nvd.nist.gov/home.cfm

4

■ 本件に関するお問い合わせ先 IPA セキュリティセンター 渡辺／大森

Tel： 03-5978-7527 Fax： 03-5978-7518 E-mail： [email protected]

■ 報道関係からのお問い合わせ先 IPA 戦略企画部広報グループ 横山／大海

表 1. 2010 年第 2 四半期の登録件数 情報の収集元 登録件数 累計件数 日本語版 国内製品開発者 10 件 98 件 JVN 38 件 787 件 NVD 390 件 7,561 件 計 438 件 8,446 件 英語版 国内製品開発者 10 件 98 件 JVN 20 件 441 件 計 30 件 539 件 別紙 1

１．2010 年 第 2 四半期 脆弱性対策情報データベース JVN iPedia の登録状況（総括）

脆弱性対策情報データベース「JVN iPedia（ http://jvndb.jvn.jp/ ）」は、日本国内で使用されている ソフトウェア製品の脆弱性対策情報を収集することにより、脆弱性関連情報を容易に利用可能とする ことを目指しています。1) 国内のソフトウェア製品開発者が公開した脆弱性対策情報、2) 脆弱性対 策情報ポータルサイト JVN1_{で公表した脆弱性対策情報、3) 米国国立標準技術研究所 NIST}2_の脆弱性 データベース「NVD3_{」が公開した脆弱性対策情報、の中から情報を収集、翻訳し、2007 年 4 月 25} 日から公開しています。 1.1 脆弱性対策情報の登録状況 ～ NIST の脆弱性データベースからの翻訳登録件数が 7,500 件を突破～ 2010 年第 2 四半期（2010 年 4 月 1 日から 6 月 30 日まで）に JVN iPedia 日本語版へ登録した脆弱性対 策情報は、国内製品開発者から収集したもの 10 件 （公開開始からの累計は 98 件）、JVN から収集した もの 38 件（累計 787 件）、NVD から収集したもの 390 件（累計 7,561 件）、合計 438 件（累計 8,446 件）でした。脆弱性対策情報の登録件数は、日本国内で使用されているソフトウェア製品の脆弱性対 策情報を NVD から収集したものが 7,500 件を突破しており、累計では 8,400 件に達しています。（表 1、図 1）。 2010 年第 2 四半期に JVN iPedia 日本語版に登録した脆弱性対策情報を製品の種類で分類すると、 Linux、UNIX、Windows、Mac OS などの OS が 76 件、Safari、Firefox、Microsoft Office、Java、 Web サーバ、データベースなどのアプリケーションが 359 件、組込みソフトウェアが 1 件、重要イ ンフラなどで利用される監視制御システム（SCADA：Supervisory Control And Data Acquisition）が 2 件となっています。 JVN iPedia 英語版は、国内製品開発者から収集したもの 10 件（累計 98 件）、JVN から収集したも の 20 件（累計 441 件）、合計 30 件（累計 539 件）でした。 3,562 3,882 4,118 4,442 4,7445,042 5,347 5,8606,156 6,666 7,295 7,646 8,008 8,446 3,000 4,000 5,000 6,000 7,000 8,000 9,000 0 200 400 600 800 1,000 列1 2Q 2007 3Q 2007 4Q 2007 1Q 2008 2Q 2008 3Q 2008 4Q 2008 1Q 2009 2Q 2009 3Q 2009 4Q 2009 1Q 2010 2Q 2010 累 積 件 数 四 半 期 件 数 図1.JVN iPediaの登録件数の四半期別推移 国内製品開発者から収集したもの JVNから収集したもの NVDから収集したもの 累計件数（右目盛り） 2007/4/25 公開開始 1

Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、シ ステムのセキュリティ対策を支援しています。IPA、JPCERT/CC が共同で運営しています。 http://jvn.jp/

2

National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における 計測と標準に関する研究を行う機関。 http://www.nist.gov/

3

表 2.登録されている製品種類別の件数 製品の種類 件数 OS（Operating System） 2,694 件 アプリケーション 5,575 件 組込みソフトウェア 158 件 SCADA 19 件 計 8,446 件 1.2 脆弱性対策情報データベースに登録されている製品種類別の件数 ～日本国内で使用されている製品の脆弱性対策情報を多数公開～ 表 2 は JVN iPedia 日本語版の脆弱性対策情報デー タベースについて、製品種類別の件数を示しています。 OS に関するものが 2,694 件、アプリケーションに関 するものが 5,575 件、組込みソフトウェアに関するも のが 158 件、監視制御システム（SCADA：Supervisory Control And Data Acquisition）に関するものが 19 件、 となっています。

製品種類別に登録が多い製品として、OS では Red

Hat Enterprise Linux、MIRACLE LINUX といった Linux 製品や、Sun Solaris、HP-UX といった UNIX 製品、Microsoft Windows、Mac OS などが登録されています。アプリケーションでは、Microsoft Office、 Mozilla Firefox といったデスクトップアプリケーションや Oracle Database などのミドルウェア、 PHP、Java などが登録されています。組込みソフトウェアについては、ルータ、スイッチといった アプライアンス製品が多く登録されています。監視制御システム（SCADA：Supervisory Control And Data Acquisition）については、GE Fanuc、AREVA T&D、Rockwell Automation といった海外ベンダ ーの製品が登録されています。

国内で利用されているソフトウェア製品の脆弱性対策情報が多数公開されていることから、製品利 用者は情報を日々収集し、製品のバージョンアップやセキュリティ対策パッチの適用などを遅滞なく 行うことが必要です。

IPA が提供している MyJVN（ http://jvndb.jvn.jp/apis/myjvn/ ）では、ベンダー名や製品（ソフ トウェア）名から、それに該当する脆弱性対策情報を容易に検索することが可能です。このツールを 活用し、脆弱性対策を早期に実施することを推奨します。 1.3 2009 年 7 月～2010 年 6 月においてアクセス数の多かった脆弱性対策情報 上位 20 件 ～古い脆弱性対策情報についても定期的な確認と対策を～ 表 3 は 2009 年 7 月～2010 年 6 月までの 1 年間にアクセス数の多かった JVN iPedia の脆弱性対策 情報を、アクセス数の多い順番に上位 20 件まで示し、表 4 は四半期ごとのその上位 20 件の順位を記 載しています。 アクセス数の上位 20 件を分析した結果、上位 20 件のうち 14 件が脆弱性対策情報の更新が行われ ており、特に 3 位の Apache Tomcat や 10 位の Apache HTTP Server においては 10 回以上の更新が 行われています。また、最終更新日が 2010 年 1 月以降のものが上位 20 件のうち 6 件となっており、 4 位の SSL および TLS については 2010 年 6 月 17 日に更新が行われています。この結果から、更 新回数が多い、または最終更新日が新しい情報についてはアクセス数が多くなる傾向があることが推 測されます。 上位 10 件の共通脆弱性評価システム CVSS4_{に着目すると、深刻度レベル III（危険) の脆弱性対策} 情報は 1 件のみで、レベル I（注意）とレベル II（警告）が多くを占めています。なお、2010 年第 2

4 _{共通脆弱性評価システム CVSS 概説。CVSS（Common Vulnerability Scoring System、共通脆弱性評価シス}

四半期（4 月～6 月）の順位上位 20 件のうち 5 件のみが、2009 年 7 月～2010 年 6 月のアクセス数 上位 20 件にランクインしており、今四半期と過去 1 年間では、注目されている脆弱性対策情報が異 なっています。

脆弱性対策情報は、公開後も、影響を受ける製品やベンダー情報の更新を行っています。例えば、 表 3 の 3 位の「Apache Tomcat」や 10 位の「Apache HTTP Server」のように公開日が古い脆弱性対策

情報が更新されることもあります。 このように、脆弱性対策情報は公開後も更新がなされる場合があるため、ウェブサイト運営者・シ ステム管理者は、自組織が使用しているソフトウェアの脆弱性対策情報について定期的に確認を行い、 未対策や更新漏れがある場合には早急な対策の実施が必要です。 表 3.JVN iPedia の脆弱性対策情報のアクセス数上位 20 件 [2009 年 7 月～2010 年 6 月] # ID タイトル アクセス 数 CVSS 基本値 公開日 最終更新日 1 JVNDB-2008-001495 複数の DNS 実装にキャッシュポ イズニングの脆弱性 5966 6.4 2008/7/23 2009/2/24 2 JVNDB-2005-000601 OpenSSL におけるバージョン・ロ ールバックの脆弱性 3720 2.6 2007/4/1 2007/12/3 3 JVNDB-2008-000009 Apache Tomcat に お い て 不 正 な Cookie を送信される脆弱性 3695 4.3 2008/2/12 2010/1/5 4 JVNDB-2009-002319 SSL および TLS プロトコルに脆 弱性 3172 6.4 2009/12/14 2010/6/17 5 JVNDB-2008-000022 Lhaplus におけるバッファオーバ ーフローの脆弱性 3119 6.8 2008/4/28 2008/4/28 6 JVNDB-2009-000037 Apache Tomcat におけるサービス 運用妨害（DoS）の脆弱性 3085 4.3 2009/6/18 2010/4/23 7 JVNDB-2009-000036 Apache Tomcat における情報漏え いの脆弱性 3032 4.3 2009/6/18 2010/4/23 8 JVNDB-2008-000050 ウイルスセキュリティおよびウイ ルスセキュリティ ZERO における サービス運用妨害 (DoS) の脆弱性 3009 4.3 2008/8/12 2008/8/12 9 JVNDB-2008-001043 X.Org Foundation 製 X サーバに おけるバッファオーバーフローの 脆弱性 2972 7.4 2008/1/31 2008/11/21 10 JVNDB-2007-001017 Apache HTTP Server の 413 エラ ーメッセージにおける HTTP メソ ッドを適切に検査しない問題 2938 4.3 2007/12/20 2009/11/13 11 JVNDB-2007-000819 Apache HTTP Server の mod_imap お よ び mod_imagemap におけるクロスサ イトスクリプティングの脆弱性 2897 4.3 2007/12/13 2009/8/10 12 JVNDB-2008-001647 Jasmine の WebLink テンプレー 2873 7.5 2008/9/10 2009/3/30

# ID タイトル アクセス 数 CVSS 基本値 公開日 最終更新日 ト実行時における複数の脆弱性 13 JVNDB-2008-000018 Namazu におけるクロスサイトス クリプティングの脆弱性 2800 4.3 2008/3/21 2009/10/27 14 JVNDB-2009-001911 XML 署名の検証において認証回避 が可能な問題 2779 5.0 2009/8/20 2010/2/26 15 JVNDB-2008-000084 PHP におけるクロスサイトスクリ プティングの脆弱性 2719 2.6 2008/12/19 2009/6/23 16 JVNDB-2009-000010 Apache Tomcat における情報漏え いの脆弱性 2695 2.6 2009/2/26 2009/2/26 17 JVNDB-2009-000053 FreeNAS におけるクロスサイトリ クエストフォージェリの脆弱性 2496 7.1 2009/8/5 2009/8/5 18 JVNDB-2009-000068 IPv6 を実装した複数の製品にサー ビス運用妨害 (DoS) の脆弱性 2478 5.7 2009/10/26 2010/1/25 19 JVNDB-2008-001150 JP1/秘文の暗号化/復号機能および 持ち出し制御機能における正しく 動作が行われない問題 2439 3.6 2008/3/14 2008/3/14 20 JVNDB-2008-001313

JP1/Cm2/Network Node Manager におけるサービス運用妨害 (DoS) の脆弱性 2423 5.0 2008/5/9 2008/5/9 注 1）CVSS 基本値の深刻度による色分け CVSS 基本値=0.0～3.9 深刻度=レベル I（注意） CVSS 基本値=4.0～6.9 深刻度=レベル II（警告） CVSS 基本値=7.0～10.0 深刻度=レベル III（危険） 注 2）公開日の年による色分け 2007 年の公開 2008 年の公開 2009 年の公開 注 3）最終更新日の年による色分け 2008 年以前の更新 2009 年の更新 2010 年の更新

表 4.JVN iPedia の脆弱性対策情報のアクセス数上位 20 件 [四半期毎のアクセス順位] # ID タイトル 2009 年 第 3 四半期 （7 月-9 月） 2009 年 第 4 四半期 （10 月-12 月） 2010 年 第 1 四半期 （1 月-3 月） 2010 年 第 2 四半期 （4 月-6 月） 1 JVNDB-2008-001495 複数の DNS 実装にキャッシュ ポイズニングの脆弱性 1 位 1 位 2 位 8 位 2 JVNDB-2005-000601 OpenSSL に お け る バ ー ジ ョ ン・ロールバックの脆弱性 2 位 4 位 10 位 24 位 3 JVNDB-2008-000009 Apache Tomcat に お い て 不 正 な Cookie を送信される脆弱性 3 位 5 位 7 位 14 位 4 JVNDB-2009-002319 SSL および TLS プロトコルに 脆弱性 - 100 位圏外 1 位 1 位 5 JVNDB-2008-000022 Lhaplus におけるバッファオー バーフローの脆弱性 19 位 6 位 11 位 22 位 6 JVNDB-2009-000037 Apache Tomcat に お け る サ ー ビス運用妨害（DoS）の脆弱性 5 位 19 位 17 位 23 位 7 JVNDB-2009-000036 Apache Tomcat に お け る 情 報 漏えいの脆弱性 9 位 25 位 9 位 21 位 8 JVNDB-2008-000050 ウイルスセキュリティおよびウ イルスセキュリティ ZERO に おけるサービス運用妨害 (DoS) の脆弱性 6 位 14 位 19 位 31 位 9 JVNDB-2008-001043 X.Org Foundation 製 X サーバ におけるバッファオーバーフロ ーの脆弱性 22 位 11 位 15 位 17 位 10 JVNDB-2007-001017 Apache HTTP Server の 413 エ ラ ー メ ッ セ ー ジ に お け る HTTP メソッドを適切に検査し ない問題 14 位 16 位 12 位 26 位 11 JVNDB-2007-000819 Apache HTTP Server の mod_imap お よ び mod_imagemap に お け る ク ロ スサイトスクリプティングの脆 弱性 27 位 20 位 13 位 13 位 12 JVNDB-2008-001647 Jasmine の WebLink テンプレ ート実行時における複数の脆弱 性 34 位 3 位 20 位 47 位 13 JVNDB-2008-000018 Namazu におけるクロスサイト スクリプティングの脆弱性 31 位 7 位 16 位 34 位 14 JVNDB-2009-001911 XML 署名の検証において認証 回避が可能な問題 62 位 8 位 5 位 79 位 15 JVNDB-2008-000084 PHP におけるクロスサイトス クリプティングの脆弱性 18 位 13 位 25 位 33 位

# ID タイトル 2009 年 第 3 四半期 （7 月-9 月） 2009 年 第 4 四半期 （10 月-12 月） 2010 年 第 1 四半期 （1 月-3 月） 2010 年 第 2 四半期 （4 月-6 月） 16 JVNDB-2009-000010 Apache Tomcat に お け る 情 報 漏えいの脆弱性 12 位 23 位 21 位 38 位 17 JVNDB-2009-000053 FreeNAS におけるクロスサイ トリクエストフォージェリの脆 弱性 4 位 37 位 51 位 100 位圏外 18 JVNDB-2009-000068 IPv6 を実装した複数の製品に サービス運用妨害 (DoS) の脆 弱性 - 2 位 18 位 36 位 19 JVNDB-2008-001150 JP1/秘文の暗号化/復号機能およ び持ち出し制御機能における正 しく動作が行われない問題 47 位 10 位 28 位 48 位 20 JVNDB-2008-001313

JP1/Cm2/Network Node Man-ager におけるサービス運用妨 害 (DoS) の脆弱性

別紙 2

1.脆弱性対策情報の登録状況

1.1 バッファエラーなど、広く知れ渡っている対策情報が数多く公開されています 共通脆弱性タイプ一覧 CWE5_{は、脆弱性の種類を識別するための共通の脆弱性タイプの一覧です。} CWE を用いると、ソフトウェアの多種多様にわたる脆弱性に関して、脆弱性の種類（脆弱性タイプ） の識別や分析、国内外での比較などが可能になります。図 2 に、JVN iPedia へ今四半期に登録した脆 弱性対策情報を、CWE で分類した、脆弱性の種類ごとの件数を示します。 件数が多い脆弱性は、CWE-119（バッファエラー）が 70 件、CWE-399（リソース管理の問題）が 42 件、CWE-264（認可・権限・アクセス制御の問題）が 39 件、CWE-79（クロスサイト・スクリプ ティング）が 30 件、CWE-94（コード・インジェクション）が 25 件、CWE-20（不適切な入力確認） が 23 件、CWE-189（数値処理の問題）が 15 件、などとなっています。 これらは広く知れ渡っている脆弱性の種類です。製品開発者は、これらの脆弱性に関して IPA が公 開している「安全なウェブサイトの作り方6_{」、「安全な SQL の呼び出し方}7_{」、「セキュア・プログラ} ミング講座8_{」などを参考に、ソフトウェア製品の企画・設計段階からセキュリティ実装を考慮する} 必要があります。 70 42 ₃₉ 30 _{25 23} 15 14 7 6

0

20

40

60

80

CWE-119 CWE-399 CWE-264 CWE-79 CWE-94 CWE-20 CWE-189 CWE-200 CWE-287 CWE-255

件

数

図2. 2010年第2四半期に登録した脆弱性の種類

CWE-119：バッファエラー CWE-399：リソース管理の問題 CWE-264：認可・権限・アクセス制御の問題 CWE-79 ：クロスサイト・スクリプティング CWE-94 ：コード・インジェクション CWE-20 ：不適切な入力確認 CWE-189：数値処理の問題 CWE-200：情報漏えい CWE-287：不適切な認証 CWE-255：証明書・パスワード管理 1.2 深刻度の高い脆弱性対策情報が数多く公開されています 図 3 に JVN iPedia に登録済みの脆弱性対策情報について、製品開発者やセキュリティポータルサ イト等が脆弱性の対策情報を公開した日を基にした、脆弱性の深刻度の公開年別推移を示します。 2004 年以降、脆弱性対策情報の公開が急増しており、2009 年まで増加傾向となっています。 JVN iPedia では、共通脆弱性評価システム CVSS9により、それぞれの脆弱性の深刻度10_{を公開して} います。2010 年第 2 四半期まで（4 月～6 月）では、レベル III（危険、CVSS 基本値=7.0～10.0）が 46%、レベル II（警告、CVSS 基本値=4.0～6.9）が 45%、レベル I（注意、CVSS 基本値=0.0～3.9） 5

Common Weakness Enumeration。概要は次を参照下さい。 http://www.ipa.go.jp/security/vuln/CWE.html

6 http://www.ipa.go.jp/security/vuln/websecurity.html 7 http://www.ipa.go.jp/security/vuln/websecurity.html 8 http://www.ipa.go.jp/security/awareness/vendor/programmingv2/index.html 9

共通脆弱性評価システム CVSS 概説。CVSS（Common Vulnerability Scoring System、共通脆弱性評価シス テム）。 http://www.ipa.go.jp/security/vuln/CVSS.html

10

脆弱性の深刻度評価の新バージョン CVSS v2 への移行について。 http://www.ipa.go.jp/security/vuln/SeverityLevel2.html

が 9%となっています。 深刻度の高い脆弱性が多数公開されていることから、製品利用者は情報を日々収集し、製品のバー ジョンアップやセキュリティ対策パッチの適用などを遅滞なく行うことが必要です。 13 55 131 192 350 393 603 850 921 1172 1506 1618 616

0

200

400

600

800

1,000

1,200

1,400

1,600

1,800

1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010

件

数

図3.脆弱性の深刻度の公開年別推移

レベルIII（危険、CVSS基本値=7.0～10.0） レベルII （警告、CVSS基本値=4.0～6.9） レベルI （注意、CVSS基本値=0.0～3.9） (～2010/6/30) 1.3 アプリケーション・ソフトウェアの脆弱性対策情報の公開が年々増加しています 図 4 に JVN iPedia に登録済みの脆弱性対策情報について、その製品の種類の公開年別推移を示し ます。Safari、Internet Explorer、Firefox、Microsoft Office などのデスクトップアプリケーションや、 Web サーバ、アプリケーションサーバ、データベースなどのミドルウェア、また、PHP、Java など、 アプリケーション・ソフトウェアの脆弱性対策情報の公開が年々増加しています。毎年、数多くのア プリケーションが新しく開発され、それらにおいて脆弱性が発見されており、アプリケーション・ソ フトウェアのセキュリティ対策は重要度を増しています。 Windows、Mac OS、UNIX、Linux などの OS に関しては、2005 年頃までは脆弱性の公開件数が増 加傾向にありましたが、2005 年以降は公開件数が減少傾向にあり毎年脆弱性は発見されるものの、 後継製品で脆弱性対策が迅速に施されています。 2005 年頃から、ネットワーク機器、携帯電話、DVD レコーダなどの情報家電など、組込みソフト ウェアの脆弱性の対策情報が徐々に公開されています。 2008 年頃からは、重要インフラなどで利用される、監視制御システム（SCADA：Supervisory Control And Data Acquisition）についても脆弱性の対策情報が公開されています。2008 年分として 6 件、2009 年分は 9 件、2010 年分は 4 件、合計 19 件の SCADA に関する脆弱性対策情報を公開しています。 0 200 400 600 800 1,000 1,200 1,400 1,600 1,800 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 件 数 図4.脆弱性対策情報を公表した製品の種類の公開年別推移 SCADA 組込みソフトウェア アプリケーション OS (～2010/6/30)

1.4 オープンソースソフトウェアの割合

図 5 に JVN iPedia に登録済みの脆弱性対策情報について、オープンソースソフトウェア（OSS） と OSS 以外のソフトウェアの公開年別推移を示します。その割合は全体で OSS が 34%、OSS 以外 が 66%となっています。OSS の割合の年別推移を見ると、1998 年から 2003 年までは上昇傾向でし たが、2004 年に減少し、近年は大きな変化なく推移しています。

0

20

40

60

80

100

0

200

400

600

800

1,000

1,200

1,400

1,600

1,800

1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010

件

数

図5.オープンソースソフトウェア(OSS)とOSS以外の公開年別推移

OSS以外

OSS（オープンソースソフトウェア）

OSSの割合（右目盛り）

(～2010/6/30) (%) 1.5 ソフトウェア製品の開発者（ベンダー）の内訳 JVN iPedia に登録済みのソフトウェア製品の開発者（ベンダー）に関して、図 6 に OSS のベンダ ーの内訳、図 7 に OSS 以外のベンダーの内訳を示します。 OSS は、国内ベンダーが 62、海外ベンダー（日本法人有り）が 22、海外ベンダー（日本法人無し） が 221、合計 305 ベンダーとなっています。OSS 以外は、国内ベンダーが 108、海外ベンダー（日 本法人有り）が 61、海外ベンダー（日本法人無し）が 43 、合計 212 ベンダーとなっています。 OSS に関しては、日本法人の無い海外ベンダーの脆弱性対策情報が数多く登録されています。OSS を利用する場合、製品のバージョンアップやセキュリティパッチの適用などのノウハウを持たない製 品利用者は、製品のサポートサービスの活用、保守契約上の取り決め等の考慮が必要です。

62

22

221

図6.OSSのベンダーの内訳

国内ベンダー

海外ベンダー

（日本法人有り）

海外ベンダー

（日本法人無し）

合計305ベンダー

108

61

43

図7.OSS以外のベンダーの内訳

国内ベンダー

海外ベンダー

（日本法人有り）

海外ベンダー

（日本法人無し）

合計212ベンダー

2.脆弱性対策情報の活用状況

表 5 は 2010 年第 2 四半期（4 月～6 月）にアクセスの多かった JVN iPedia の脆弱性対策情報を、 アクセス数の多い順番に上位 20 件まで示しています。DNS 実装や OpenSSL、Apache Tomcat など は、脆弱性対策情報の公開から時間が経過しても多数のアクセスがあり、利用者が注目している情報 となっています。一太郎シリーズ、サイボウズ、MODx、Cisco Router and Security Device Manager

など、近年公開した情報にも多数のアクセスがありました。 表 6 は国内の製品開発者から収集した脆弱性対策情報のアクセス数上位 5 件を示しています。 表 5.JVN iPedia の脆弱性対策情報のアクセス数上位 20 件 [2010 年 4 月～2010 年 6 月] # ID タイトル アクセ ス 数 CVSS 基本値 公開日 1 JVNDB-2009-002319 SSL および TLS プロトコルに脆弱性 1365 6.4 2009/12/14 2 JVNDB-2010-000015 一太郎シリーズにおける任意のコードが実行され る脆弱性 1359 9.3 2010/4/12 3 JVNDB-2010-000016 複数のサイボウズ製品におけるアクセス制限に関 する脆弱性 1092 5.8 2010/4/20 4 JVNDB-2010-001229 OpenSSL における複数の関数に関する脆弱性 1043 10.0 2010/4/9 5 JVNDB-2010-000012 MODx における SQL インジェクションの脆弱 性 961 7.5 2010/4/8 6 JVNDB-2010-000011 Internet Explorer における情報漏えいの脆弱性 938 4.3 2010/4/7 7 JVNDB-2010-000014

Cisco Router and Security Device Manager にお

けるクロスサイトスクリプティングの脆弱性 936 4.3 2010/4/8 8 JVNDB-2008-001495 複数の DNS 実装にキャッシュポイズニングの 脆弱性 934 6.4 2008/7/23 9 JVNDB-2010-001371 複数のアンチウィルス製品に脆弱性 741 10.0 2010/5/10 10 JVNDB-2010-000024 一太郎シリーズにおける任意のコードが実行され る脆弱性 715 9.3 2010/6/1 11 JVNDB-2010-000010 HL-SiteManager における SQL インジェクショ ンの脆弱性 697 7.5 2010/4/2 12 JVNDB-2010-000006 OpenPNE におけるアクセス制限回避の脆弱性 695 5.8 2010/3/5 13 JVNDB-2007-000819

Apache HTTP Server の mod_imap お よ び mod_imagemap におけるクロスサイトスクリプ ティングの脆弱性

676 4.3 2007/12/13

14 JVNDB-2008-000009

Apache Tomcat において不正な Cookie を送信

される脆弱性 676 4.3 2008/2/12

15 JVNDB-2010-001537

Adobe Flash ActionScript AVM2 newfunction 命令

に脆弱性 674 9.3 2010/06/17

16 JVNDB-2009-000018

一太郎シリーズにおけるバッファオーバーフロー

# ID タイトル アクセ ス 数 CVSS 基本値 公開日 17 JVNDB-2008-001043 X.Org Foundation 製 X サーバにおけるバッファ オーバーフローの脆弱性 661 7.4 2008/1/31 18 JVNDB-2010-001174

Apache HTTP Server の ap_read_request 関数

における重要な情報を取得される脆弱性 650 4.3 2010/3/23 19 JVNDB-2010-000013 MODx におけるクロスサイトスクリプティング の脆弱性 633 4.3 2010/4/8 20 JVNDB-2010-000019 WebSAM DeploymentManager におけるサービ ス運用妨害 (DoS) の脆弱性 610 7.8 2010/5/17 表 6.国内の製品開発者から収集した脆弱性対策情報のアクセス数上位 5 件 [2010 年 4 月～2010 年 6 月] # ID タイトル アクセ ス 数 CVSS 基本値 公開日 1 JVNDB-2008-001313

JP1/Cm2/Network Node Manager におけるサー

ビス運用妨害 (DoS) の脆弱性 459 5.0 2008/5/9 2 JVNDB-2008-001647 Jasmine の WebLink テンプレート実行時にお ける複数の脆弱性 426 7.5 2008/9/10 3 JVNDB-2008-001150 JP1/秘文の暗号化/復号機能および持ち出し制御 機能における正しく動作が行われない問題 424 3.6 2008/3/14 4 JVNDB-2008-001895

JP1/VERITAS NetBackup の JAVA

Administra-tion GUI における特権昇格の脆弱性 410 6.5 2008/11/26 5 JVNDB-2010-001204 Accela BizSearch のローカル収集におけるアク セス権限に関する脆弱性 329 5.0 2010/4/2 注 1）CVSS 基本値の深刻度による色分け CVSS 基本値=0.0～3.9 深刻度=レベル I（注意） CVSS 基本値=4.0～6.9 深刻度=レベル II（警告） CVSS 基本値=7.0～10.0 深刻度=レベル III（危険） 注 2）公開日の年による色分け 2008 年以前の公開 2009 年の公開 2010 年の公開