Internet Watch logo
記事検索
最新ニュース

SSIインジェクションやCSRFなどの新たな問題も〜IPAの脆弱性届出状況


 情報処理推進機構(IPA)は19日、「ソフトウエア等の脆弱性関連情報に関する届出状況」と「国内・海外におけるコンピュータウイルス被害状況調査」を公開した。

 「ソフトウエア等の脆弱性関連情報に関する届出状況」は、IPAと有限責任中間法人JPCERTコーディネーションセンター(JPCERT/CC)がとりまとめたもの。IPAとJPCERT/CCでは、2004年7月から脆弱性情報の届出制度を実施しており、今回は2005年第1四半期(1月〜3月)の状況が公表された。

 第1四半期の届出状況は、ソフトウェアに関するものが12件、Webアプリケーションに関するものが71件で、合計は前四半期と比べて3件増の83件となった。なお、2004年7月からの累計ではソフトウェアに関する届出が44件、Webアプリケーションに関する届出が211件の合計255件。1営業日につき1.45件の届出がある計算だ。

 ソフトウェア別の脆弱性情報では、Webブラウザが23%で最多。アンチウイルスソフト、メールクライアント、グループウェアがいずれも13%で続く。Webアプリケーションの脆弱性情報では、クロスサイトスクリプティングが56%で最多。以下、パス名パラメータの未チェックが14%、価格などの改ざんとHTTPレスポンス分割がそれぞれ6%と続く。なお、これら種別ごとの脆弱性情報には、「明らかに脆弱性ではない」などの理由で不受理になった届出は除いている。


SSIインジェクションやクロスサイト・リクエスト・フォージェリなどの問題も

IPAの福澤氏は「最近の脆弱性は、コンピュータ以外にも範囲が広がっている」と指摘
 IPAセキュリティセンター情報セキュリティ技術ラボラトリーの福澤淳二ラボラトリー長は、「ソフトウェアの脆弱性では、3%と多くはないが携帯電話の情報も寄せられた。最近の脆弱性は、コンピュータ以外にも範囲が広がっている」とコメント。また、Webアプリケーションに関しては「SSI(Server Side Include)インジェクション」や「クロスサイト・リクエスト・フォージェリ(Cross-Site Request Forgeries:CSRF)」と呼ばれる問題を指摘する声もあったという。

 SSIインジェクションとは、入力フォームなどに悪意あるSSIコマンドを入力し、Webアプリケーション宛に送信し実行させることで、外部からOSのコマンドを実行したり、ファイルの閲覧が可能になるという。CSRFは、アクセスすると自動的にログインするサイトの仕組みを悪用して、正規利用者にとって意図しない登録内容変更や商品購入をさせてしまう。

 いずれも届出の割合は1%以下と低い。SSIインジェクション対策には、利用者からのデータをWebアプリケーションに渡す前に内容を確認することなど、CSRF対策には、リファラーのチェックを行なうなどのWebサイト作成者や管理者による処置が必要だ。


技術に忠実な情報を掲載する〜JPCERT/CCの伊藤マネージャ

JPCERT/CCの伊藤マネージャは「技術に忠実な情報を掲載する」という
 脆弱性対策ポータルサイト「JP Vender status Notes(JVN)」を通じて公表された脆弱性としては、1月に公開された「LDAPサーバーの更新機能におけるバッファオーバーフローの脆弱性」や、3月の「TomcatにおけるDoSの脆弱性」「Norton Antivirusで不正ファイルのスキャン時にOS異常終了」などを挙げた。なお、ソフトウェアの脆弱性に関しては、届出受付から公開までの平均日数は2005年第1四半期で71.5日。2004年7月からの公開までの平均日数55日を上回る結果になった。

 JVNを担当するJPCERT/CC情報流通対策グループの伊藤友里恵マネージャは、脆弱性を「悪用することで意図しないセキュリティポリシーの侵害が引き起こされるもの」と定義。ただし、各ベンダーの定義とは異なる場合もあり、JVNには脆弱性以外の問題として掲載する場合もあるという。

 「例えば、携帯電話の2次元コードリーダーに関連する不具合も当初は、脆弱性ではないかと事業者側に報告した」と伊藤氏。しかし、開発元が脆弱性ではないと回答したため、脆弱性とせず「問題」と記載した。「脆弱性の定義を語ると宗教論争になってしまう。そのために掲載が遅れるよりは、表現を変えた方がよい場合もある。些末な問題よりも技術に忠実な情報を掲載するよう心がけている」。


ウイルス対策、国内では民間より自治体が先行

IPAの窪田理事は、数値の低さを「調査する必要がある」と述べた
 このほかIPAでは、「国内・海外におけるコンピュータウイルス被害状況調査」について解説した。調査対象は、国内が770事業所と390自治体の計1,160件、海外が米国530件、ドイツ503件、韓国599件、台湾521件、オーストラリア508件。

 国内では、自治体と民間でウイルス対策に差が出た。ウイルスの遭遇経験では、「一度でも感染したことがある」こそ自治体が20.1%、民間が21.3%とほとんど差がなかったものの、「感染はないが発見したことがある」は自治体が68.6%、民間が37.5%となった。一方で、感染も発見も「ない」との回答は自治体が11.3%、民間が41.2%となっている。

 また、ウイルス対策ソフトの導入状況でも、9割以上のPCに導入している自治体は93.3%を占めた一方、民間では63.9%に止まった。導入していない企業も民間では10.4%に上るという。また、ユーザー教育に関しても社内セミナーを開催したことがある自治体が32.7%なのに比べ、民間は5.2%。専門部署についても37.1%の自治体で設置しているが、民間では15.2%に止まっている。

 海外では、オーストラリアが27.8%と最多の感染率。米国(26.8%)、韓国(24.9%)と続く。ウイルス対策ソフトの導入状況では、87.9%の米国企業が9割以上のPCに導入していると回答。次いで、オーストラリア(76.2%)、日本(73.8%)となっている。

 セキュリティパッチの適用状況については、米国の96.2%が「常に最新のパッチを適用している」もしくは「定期的に適用している」と回答した。以下、ドイツ(92.1%)、オーストラリア(85.2%)と続く。また、ウイルス対策に関する社内体制は、米国の96.9%が「専門部署がある」「兼務だが担当者を任命」「外部委託している」のいずれかを回答。こちらもドイツ(91.4%)、オーストラリア(81.0%)が上位を占めた。

 なお、セキュリティパッチ適用状況、ウイルス対策に関する社内体制に関しては日本はいずれも最下位。IPAの窪田明理事は「セキュリティパッチの適用については、社内で不具合が出ないか検査しているという話も聞いているが、それにしても低い数字だ」とコメント。「事情を詳しく聞いて調査する必要もある」と述べた。


関連情報

URL
  ソフトウエア等の脆弱性関連情報に関する届出状況
  http://www.ipa.go.jp/security/vuln/report/vuln2005q1.html
  国内・海外におけるコンピュータウイルス被害状況調査
  http://www.ipa.go.jp/security/fy16/reports/virus-survey/

関連記事
auの2次元コードリーダーに、2行目のURLにアクセスしてしまう不具合(2005/04/14)
IPAの脆弱性届出制度、Webサイト運営者への認知拡大が課題(2004/10/18)
IPA、国内外における2003年のウイルス届出状況を発表(2004/04/27)


( 鷹木 創 )
2005/04/19 18:30

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2005 Impress Corporation, an Impress Group company. All rights reserved.