- 以下は、「脆弱性対策情報データベース JVN iPediaに関する活動報告レポート」1章の抜粋です。2章以降は 活動報告レポート(PDF) をご参照ください。
1. 2016年第4四半期 脆弱性対策情報データベース JVN iPediaの登録状況
脆弱性対策情報データベース「JVN iPedia( http://jvndb.jvn.jp/ )」は、ソフトウェア製品に関する脆弱性対策情報を2007年4月25日から日本語で公開しているものです。システム管理者が迅速に脆弱性対策を行えるよう、1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情報ポータルサイトJVN(*1)で公表した脆弱性対策情報、3)米国国立標準技術研究所NIST(*2)の脆弱性データベース「NVD(*3)」が公開した脆弱性対策情報を集約、翻訳しています。
1-1. 脆弱性対策情報の登録状況
~脆弱性対策情報の登録件数の累計は64,618件~
2016年第4四半期(2016年10月1日から12月31日まで)にJVN iPedia日本語版へ登録した脆弱性対策情報は下表の通りとなり、脆弱性対策情報の登録件数は、累計64,618件でした(表1-1、図1-1)。
JVN iPedia英語版へ登録した脆弱性対策情報も下表の通り、累計で1,588件になりました。
| 情報の収集元 | 登録件数 | 累計件数 | |
|---|---|---|---|
| 日本語版 | 国内製品開発者 | 1 件 | 179 件 |
| JVN | 117 件 | 6,893件 | |
| NVD | 1,453 件 | 57,546 件 | |
| 計 | 1,571 件 | 64,618 件 | |
| 英語版 | 国内製品開発者 | 1 件 | 179 件 |
| JVN | 71 件 | 1,409 件 | |
| 計 | 72 件 | 1,588 件 |
1-2.【注目情報1】2016年 年間の注意喚起/緊急対策情報から分かる脆弱性の深刻度について
~深刻度「危険」の脆弱性対策情報は、Adobe Flash Player 95.7%、Adobe Reader 83.3%~
2016年も広く世間で利用されている製品について、攻撃に悪用された脆弱性や深刻度の高い危険な脆弱性が公開されました。例えば、2016年の第4四半期だけでも、10月にはAdobe ReaderやOracle JREについて、リスクの高い脆弱性(CVE-2016-1089、CVE-2016-5556等)が公開されました。この脆弱性が悪用されるとコンピュータを乗っ取られる可能性等がありました。また、12月にはAdobe Flash Playerについて、ゼロデイ攻撃に悪用された脆弱性(CVE-2016-7892)が公開されました。
IPAでは、これらのように深刻度が高い脆弱性が公開された際に、注意喚起/緊急対策情報の発信を行っています。2016年は合計51件の発信を行い、その内、上述のAdobe Flash Playerは15件、Adobe Readerは5件、Oracle JREは5件と全体の約半数を占めました。そこで、これら注意喚起/緊急対策情報の発信件数が多い3製品の脆弱性対策情報の登録状況について見ていきます。
図1-2-1および図1-2-2、図1-2-3は、それぞれ2016年のAdobe Flash Player、Adobe Reader、Oracle JREの脆弱性の深刻度別件数とその割合を示したものです。レベルIII(深刻度:危険)の占める割合はAdobe Flash Playerでは95.7%と100%に迫るほどであり、Adobe Readerでも8割を超えています。また、図1-2-4はAdobe Readerの脆弱性対策情報の登録件数及び深刻度別件数の2012年から2016年までの5年間の推移です。
公表された脆弱性に対し、最新のパッチを適用せずに、脆弱性を放置したまま製品を使用し続けると、脆弱性を悪用した攻撃による被害を受ける可能性が高くなります。Adobe Flash Player、Adobe Reader、Oracle JREの利用者は、最新のパッチがベンダから公開され ているか常に確認し、アップデート情報が公開された場合には、すみやかに最新のパッチを適用するなど、日々の脆弱性対策を実施してください。なお、IPAでは、脆弱性対策の確実な実施と促進のために、組織のシステム管理者向けに、サイバーセキュリティ注意喚起サービス「icat(*4)」というツールを提供しています。このツールではIPAが注意喚起/緊急対策情報の発信を行った、深刻度が高い脆弱性対策情報をリアルタイムに配信しています。
また、組織の従業員・職員や、主婦・学生といった家庭でPCを利用している一般ユーザ向けに、「MyJVNバージョンチェッカ(*5)」を提供しています。このツールを使えば、PCにインストールしているソフトウェア製品のバージョンが最新であるかを確認することができます。日々の脆弱性対策の一環として、本ツールの活用をおすすめします。
1-3.【注目情報2】2016年 年間のAndroid OSの脆弱性対策情報の登録件数について
~2016年のAndroid OSの脆弱性対策情報の登録件数は508件で、前年の4.5倍に~
2016年10月に、LinuxカーネルのDirty COW(CVE-2016-5195)と呼ばれる脆弱性が公表されました。Android OS(以降、Android)にはLinuxが利用されているため、本脆弱性はAndroidの全バージョンに影響する可能性があり(2016年11月時点で最新バージョンであったAndroid 7.0 Nougat を含む)、加えて、この脆弱性に対する攻撃コードも多数公開されていました。2016年はAndroidに関する脆弱性はこの他にも多数公開されています。そこで、Androidの脆弱性対策情報の登録状況について見ていきます。
図1-3-1 は、Androidの脆弱性対策情報の登録件数及び深刻度別件数の2012年から2016年までの5年間の推移を示しています。また図1-3-2は2016年の1年間に登録されたAndroidの脆弱性の深刻度の件数とその割合を示しています。
普段何気なく利用しているスマートフォンやタブレット端末にも脆弱性が存在していることを認識し、利用者は、最新のパッチが公開された場合には、すみやかにアップデートを実施する必要があります。
脚注
(*1) Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
https://jvn.jp/
(*2) National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
http://www.nist.gov/
(*3) National Vulnerability Database。NISTが運営する脆弱性データベース。
http://nvd.nist.gov/home.cfm
(*4)「icat」
https://www.ipa.go.jp/security/vuln/icat.html
(*5)「MyJVNバージョンチェッカ」
http://jvndb.jvn.jp/apis/myjvn/index.html
資料のダウンロード
参考情報
アンケートのお願い
よろしければ今後のサービス向上を図るため、「脆弱性対策情報データベース JVN iPedia に関する活動報告レポート」に関するアンケートにご協力ください。
>
アンケート画面へ
本件に関するお問い合わせ先
IPA セキュリティセンター 工藤(伊)/竹村
Tel: 03-5978-7527 Fax: 03-5978-7552
E-mail: