脆弱性対策情報データベースJVN iPediaの登録状況 [2017年第1四半期(1月~3月)]
【外部リンク】
https://www.ipa.go.jp/security/vuln/report/JVNiPedia2017q1.html
脆弱性対策情報データベースJVN iPediaの登録状況 [2017年第1四半期(1月~3月)]
独立行政法人情報処理推進機構
最終更新日:2017年4月25日
以下は、「脆弱性対策情報データベース JVN iPediaに関する活動報告レポート」1章の抜粋です。2章以降は 活動報告レポート(PDF) をご参照ください。
1. 2017年第1四半期 脆弱性対策情報データベース JVN iPediaの登録状況
1-1. 脆弱性対策情報の登録状況
~脆弱性対策情報の登録件数の累計は67,485件~
1-2. 【注目情報1】Apache Struts2の脆弱性対策情報について
~今四半期はCVSSv2が10.0の脆弱性が1件、2016年度は16件中3件が10.0の脆弱性~
2017年3月にApache Struts2(*4)の脆弱性対策情報(S2-045)が公開されました。本脆弱性を悪用された場合、遠隔の第三者によって、サーバ上で任意のコードを実行される可能性がありました。本脆弱性の攻撃コードを用いたと思われる通信や被害が発生したことから、IPAでは緊急対策情報を発信しています(*5)。その後、個人情報が流出する被害も確認され(*6)、本脆弱性は注目を集めました。
ウェブサイトはインターネット上に公開するといつでもどこからでもアクセスが可能です。そのため、Apache Struts2のように広く使われるソフトウェアフレームワークの脆弱性が公開された場合、それを使って構築されたウェブサイトは、攻撃者に狙われやすく、情報漏えい等の被害を受ける可能性があります。
1-3. 【注目情報2】WordPressの脆弱性対策情報について
~今四半期のWordPressの登録件数は16件、直近3年間の推移は増加傾向~
2017年2月にCMSであるWordPressの脆弱性が公開されました。本脆弱性を悪用された場合、遠隔の第三者にサーバ上でコンテンツを改ざんされる可能性があり、攻撃コードが確認されたためIPAでは緊急対策情報を発信しています(*8)。
[注目情報1]で紹介したApache Struts2、[注目情報2]で紹介したWordPressは、両製品ともウェブサイトに関する製品です。今四半期の状況を見ると、ウェブサイトに関する脆弱性の攻撃コードが確認されると、被害が拡大する傾向が見て取れます。
IPAでは深刻な脆弱性攻撃の発生に対して、緊急対策情報を公開しており、その情報をいち早く受け取れる「icat for JSON(*10)」というサービスを提供しています。このサービスのご活用も是非ご検討ください。
脚注
(*1) Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
https://jvn.jp/別ウィンドウで開く
(*2) National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
https://www.nist.gov/別ウィンドウで開く
(*3) National Vulnerability Database。NISTが運営する脆弱性データベース。
https://nvd.nist.gov/home別ウィンドウで開く
(*4)java を用いたウェブアプリケーションなどを開発するためのオープンソースのソフトウェアフレームワーク
(*5)更新:Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045)(S2-046)
https://www.ipa.go.jp/security/ciadr/vul/20170308-struts.html
(*6)事務委託先であるGMOペイメントゲートウェイ株式会社のシステムへの不正アクセス及び個人情報流出のおそれについて
http://www.jhf.go.jp/topics/topics_20170310_im.html別ウィンドウで開く
(*7)Apache Struts2 の脆弱性対策情報一覧
https://www.ipa.go.jp/security/announce/struts2_list.html
(*8)WordPress の脆弱性対策について
https://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html
(*9)WordPressの脆弱性突く攻撃が激増、6万以上のWebサイトで改ざん被害
http://www.itmedia.co.jp/enterprise/articles/1702/09/news064.html別ウィンドウで開く
(*10) IPAから発信する重要なセキュリティ情報をリアルタイムに配信するサービスで、1000組織以上が活用しています。
https://www.ipa.go.jp/security/vuln/icat.html
人気の投稿
-
n117 データアクセスに制限がかかっています 【外部リンク】 https://id.smt.docomo.ne.jp/src/utility/errorcode_list.html dアカウント設定のエラーコードと対処方法 エラーコード一覧(2019年7月... -
PS Vita / PS Vita TV のエラーコード 【外部リンク】 https://www.playstation.com/ja-jp/support/hardware/psvita-problem-reading-disc/ PlayStationVita / Pla... -
Account is not paid. (2,015) 【外部リンク】 https://support.zoom.us/hc/ja ズームヘルプセンター ステムダイアログが表示したら、Zoom Meetingsを開くをクリックしてくださいを実行してください。 Z...
-
【外部リンク】 https://discussionsjapan.apple.com/thread/10179313 このメッセージはサーバからダウンロードされていません このメッセージはサーバからダウンロードされていません。 機種変更 この サーバ から ダウンロー...
-
au ID セッションタイムアウトになりました。再度接続してください。(CCAE0003) ※何度も、このエラーが表示される場合は、ご利用のブラウザでCookieを受け入れる設定に変更を行ってください。 【外部リンク】 https://id.auone.jp/age/...