IPA、5月のコンピューターウイルス・不正アクセス届出状況を発表
コンピュータウイルス・不正アクセスの届出状況[5月分]について
独立行政法人 情報処理推進機構(略称 IPA、理事長:藤原 武平太)は、2007年5月のコンピュータウイルス・不正アクセスの届出状況をまとめました。
今月の呼びかけ:
「そのアプリケーションソフトには、セキュリティホールはありませんか?」
―セキュリティホール対策は、オペレーティングシステム(OS)だけではない!―
(1)アプリケーションソフトのセキュリティホールの現状
現在、一般で広く利用されているアプリケーションソフトの中には、セキュリティホール(セキュリティ上の弱点)(*1)が報告されているものが少なからず存在しています。また、悪意のある人がインターネットに接続されているコンピュータ上のアプリケーションソフト等にセキュリティホールが無いか、いろいろな手口で日々探しまわっています。
当機構への4月、5月のウイルス・不正アクセスの届出の中でも、コンピュータを管理するアプリケーションソフトで発見されたセキュリティホールから侵入されて被害を受けたとの届出が目立ちました。
(2)アプリケーションソフトに潜むセキュリティホール
アプリケーションソフトとは、ワープロソフト、表計算ソフト、プレゼンテーションソフト、メールソフト、音楽や動画等を録画・再生するソフト、PDF ファイルを作成・表示するソフト等をいいます。これらのソフトは毎日のように利用されており、仕事や生活に必要不可欠なものとなっています。
このため、オペレーティングシステム(OS)だけでなく、パソコンに入っていてもこれまでほとんど利用していなかったものを含め、アプリケーションソフトにもセキュリティホール対策が必要であることを認識してください。日頃からアプリケーションソフトのセキュリティホール情報の有無を確認するなどして、セキュリティホール情報が発見された場合には、パッチ(修正プログラム)を当てるなどして、早急にセキュリティホールの解消を行う必要があります。
(3)アプリケーションソフトのセキュリティホールにより想定される被害
当機構では経済産業省告示「ソフトウェア等脆弱性関連情報取扱基準」に基づき、アプリケーションソフト等のセキュリティホール関連情報の届出を受け付けており、四半期ごとに届出状況の報告を行っております。
その状況報告の2007年第1四半期(1月~3月)の報告によると、アプリケーションソフトのセキュリティホールを発見して届出を受け付けた件数は36件(2004年7月からの累計件数455件)あります。その届出状況では、アプリケーションソフトにセキュリティホールがある場合にどのような被害が想定されるかをまとめており、主な想定される被害は以下のとおりとなっています。
- 任意のスクリプト(侵入者の意図する操作手続き)の実行
- 任意のコード(攻撃用プログラム)の実行
- 情報漏えい
- ID、パスワードの漏えい
- なりすまし
- サービス不能 等
これらの被害を実際に受けた場合は、金銭的な損失や業務への影響等の被害だけでなく、「なりすまし」などによりいつの間にか、加害者となってしまうこともあります。
(4)アプリケーションソフトのセキュリティホール対策
上記(3)の様な被害に遭わないためには、セキュリティホールを解消する必要があります。そのためには、アプリケーションソフトのバージョン管理が重要になります。そこで以下の対策を行うことが必要となります。
a.アプリケーションソフトの入手は、必ず信頼できるところから正規のものを入手してください。アプリケーションソフトのバージョン情報は、アプリケーションソフトのヘルプで確認することが出来ます。
b.アプリケーションソフトを利用している間は、その提供元のアプリケーションソフトのバージョン更新履歴を定期的にチェックしてください。新しいバージョン情報が報告されている場合は、自分で新しいバージョンを入手して、安全に利用できる状態にしてください。
c.アプリケーションソフトの中には、新しいバージョンが出ると自動的に通知、更新をしてくれるものがあります。これを利用することにより、常に確実で安全に利用できる状態を保つことができます。特に最近のアプリケーションソフトには、自動更新機能が搭載されているものが増えてきています。
(5)アプリケーションソフトのセキュリティホール情報の収集
経済産業省では、アプリケーションソフト等のセキュリティホール関連情報流通の枠組みとして、官民連携による「情報セキュリティ早期警戒パートナーシップ」(以下、「枠組み」という)を構築しています。具体的な取り組みは以下のとおりです。この取り組みを活用してアプリケーションソフトのセキュリティホール情報の収集をすることができます。
a.IPAと有限責任中間法人 JPCERTコーディネーションセンター(JPCERT/CC)は、上述の枠組みに基づき、日本国内の製品開発者のセキュリティホール対応状況を公開するサイトとして、2004年7月から JVN(Japan Vulnerability Notes)を共同で運営しています。JVNでは、この枠組みにより届け出られたアプリケーションソフト等のセキュリティホール情報を公開しています。これらのセキュリティホール情報には、JVNに登録している日本国内の製品開発者の対応状況も含まれております。対応状況には、セキュリティホールに該当する製品の有無、回避策や対策情報も含まれます。
b.また、JVNの中で日々発見されるアプリケーションソフト等のセキュリティホール情報を適宜収集・蓄積した「JVN iPedia脆弱性対策情報データベース」を公開しています。JVN iPediaは、JVNに掲載されるアプリケーションソフト等のセキュリティホール情報のほか、JVN以外で公開される国内製品あるいは国内で広く利用されているアプリケーションソフト等の製品に対するセキュリティホール情報についても公開対象としています。1998年から発見されているアプリケーションソフトやオペレーティングシステム(OS)等のセキュリティホール情報を中心に約3,500件(2007年4月公表時点)のデータを蓄積しており、以後も継続してデータの蓄積を進めています。セキュリティホール情報は、アプリケーションソフト等の製品毎に「影響を受けるシステム」、「想定される影響」、「対策」等の情報を含みます。
その他、アプリケーションソフトのセキュリティ対策を強化するために、IT及び情報セキュリティ関連のニュースサイト等をチェックして、利用しているアプリケーションソフトのセキュリティ関連情報等の収集を実施することをお勧めします。
参考URL
JVN : http://jvn.jp/
JVN iPedia : http://jvndb.jvn.jp/
(*1)ぜい弱性(vulnerability)
情報セキュリティ分野においては、通常、システム・ネットワーク・アプリケーションまたは関連するプロトコルのセキュリティを損なうような、予定外の、望まないイベントにつながる可能性がある弱点の存在や、設計もしくは実装のエラーのことを言う。セキュリティ上の設定が不備である状態を指す場合もある。一般に、セキュリティホール(security hole)と呼ばれることもある。
※以下、詳細は「オリジナルリリース」をご参照下さい。