IPA 脆弱性対策情報データベースJVN iPediaの登録状況 [2023年第1四半期(1月〜3月)]
1. 2023年第1四半期 脆弱性対策情報データベース JVN iPediaの登録状況
脆弱性対策情報データベース「JVN iPedia」は、ソフトウェア製品に関する脆弱性対策情報を2007年4月25日から日本語で公開している。システム管理者が迅速に脆弱性対策を行えるよう、1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情報ポータルサイトJVN(注釈1)で公表した脆弱性対策情報、3)米国国立標準技術研究所NIST(注釈2)の脆弱性データベース「NVD(注釈3)」が公開した脆弱性対策情報を集約、翻訳している。
1-1. 脆弱性対策情報の登録状況
脆弱性対策情報の登録件数の累計は154,942件
2023年第1四半期(2023年1月1日から3月31日まで)にJVN iPedia日本語版へ登録した脆弱性対策情報は表1-1の通りとなり、2007年4月25日にJVN iPediaの公開を開始してから本四半期までの、脆弱性対策情報の登録件数の累計は154,942件になった(表1-1、図1-1)。
また、JVN iPedia英語版へ登録した脆弱性対策情報は表1-1の通り、累計で2,572件に。
表1-1.2023年第1四半期の登録件数
| 情報の収集元 | 登録件数 | 累計件数 | |
|---|---|---|---|
| 日本語版 | 国内製品開発者 | 2件 | 263件 |
| JVN | 180件 | 12,149件 | |
| NVD | 2,804件 | 142,530件 | |
| 計 | 2,986件 | 154,942件 | |
| 英語版 | 国内製品開発者 | 2件 | 266件 |
| JVN | 43件 | 2,306件 | |
| 計 | 45件 | 2,572件 |
2. JVN iPediaの登録データ分類
2-1. 脆弱性の種類別件数
図2-1は、2023年第1四半期(1 月~3 月)にJVN iPediaへ登録した脆弱性対策情報を、共通脆弱性タイプ一覧(CWE)によって分類し、件数を集計したもの。
集計結果は件数が多い順に、CWE-79(クロスサイトスクリプティング)が343件、CWE-787(境界外書き込み)が262件、CWE-89(SQLインジェクション)が140件、CWE-416(解放済みメモリの使用)が94件、CWE-125(境界外読み取り)が83件でした。最も件数の多かったCWE-79(クロスサイトスクリプティング)は、悪用されると偽のウェブページが表示されたり、情報が漏えいしたりするおそれがある。
製品開発者は、ソフトウェアの企画・設計段階から、脆弱性の低減に努めることが求められる。IPAではそのための資料やツールとして、開発者が実施すべき脆弱性対処をまとめた資料「脆弱性対処に向けた製品開発者向けガイド(注釈4)」、開発者や運営者がセキュリティを考慮したウェブサイトを作成するための資料「安全なウェブサイトの作り方 (注釈5)」、脆弱性の仕組みを実習形式や演習機能で学ぶことができる脆弱性体験学習ツール「AppGoat(注釈6)」などを公開している。
2-2. 脆弱性に関する深刻度別割合
図2-2はJVN iPediaに登録済みの脆弱性対策情報をCVSSv2の値に基づいて深刻度別に分類し、登録年別にその推移を示したもの。2023年にJVN iPediaに登録した脆弱性対策情報は深刻度別に、レベル3が全体の20.6%、レベル2が65.9%、レベル1が13.6%となっており、情報の漏えいや改ざんされるような危険度が高い脅威であるレベル2以上が86.5%を占めている。
図2-3はJVN iPediaに登録済みの脆弱性対策情報をCVSSv3の値に基づいて深刻度別に分類し、登録年別にその推移を示したもの。2023年にJVN iPediaに登録した脆弱性対策情報は深刻度別に、「緊急」が全体の15.5%、「重要」が42.1%、「警告」が40.4%、「注意」が1.9%となっている。
既知の脆弱性による脅威を回避するため、製品開発者は常日頃から新たに報告される脆弱性対策情報に注意を払うと共に、脆弱性が解消されている製品へのバージョンアップやアップデートなどを速やかに行ってほしい。
なお、新たに登録したJVN iPediaの情報を、RSS形式やXML形式(注釈7) で公開している。
2-3. 脆弱性対策情報を公開した製品の種類別件数
図2-4はJVN iPediaに登録済みの脆弱性対策情報をソフトウェア製品の種類別に件数を集計し、年次でその推移を示したもの。2023年で最も多い種別は「アプリケーション」に関する脆弱性対策情報で、2023年の件数全件の72.2%(2,156件/全2,986件)を占めている。
図2-5は重要インフラなどで利用される、産業用制御システムに関する脆弱性対策情報の件数を集計し、年次でその推移を示したもの。これまでに累計で3,929件を登録している。
2-4. 脆弱性対策情報の製品別登録状況
表2-1は2023年第1四半期(1月~3月)にJVN iPediaへ登録された脆弱性対策情報の中で登録件数が多かった製品上位20件を示したもの。
本四半期においてはクアルコムが提供するQualcomm componentが1位となった。2位以降はMozilla Foundationが提供するブラウザやメールソフト、マイクロソフト社が提供するWindows OSが上位にランクインしている。
JVN iPediaは、表に記載されている製品以外にも幅広い脆弱性対策情報を登録公開している。製品の利用者や開発者は、自組織などで使用しているソフトウェアの脆弱性対策情報を迅速に入手し、効率的な対策に役立ててほしい(注釈8)。
表2-1. 製品別JVN iPediaの脆弱性対策情報登録件数 上位20件 [2023年1月~2022年3月]
| 順位 | カテゴリ | 製品名(ベンダ名) | 登録件数 |
|---|---|---|---|
| 1 | ファームウェア | Qualcomm component (クアルコム) | 382 |
| 2 | ブラウザ | Mozilla Firefox (Mozilla Foundation) | 154 |
| 3 | OS | Microsoft Windows 10 (マイクロソフト) | 151 |
| 4 | OS | Microsoft Windows 11 (マイクロソフト) | 150 |
| 5 | OS | Microsoft Windows Server 2022 (マイクロソフト) | 147 |
| 6 | OS | Microsoft Windows Server 2019 (マイクロソフト) | 141 |
| 7 | OS | Microsoft Windows Server 2016 (マイクロソフト) | 133 |
| 8 | OS | Microsoft Windows Server 2012 (マイクロソフト) | 126 |
| 9 | メールソフト | Mozilla Thunderbird (Mozilla Foundation) | 116 |
| 10 | ブラウザ | Mozilla Firefox ESR (Mozilla Foundation) | 103 |
| 11 | OS | Debian GNU/Linux (Debian) | 100 |
| 12 | OS | Microsoft Windows Server 2008 (マイクロソフト) | 95 |
| 13 | OS | Fedora (Fedora Project) | 83 |
| 14 | その他 | MicroStation (Bentley Systems) | 76 |
| 14 | その他 | Bentley View (Bentley Systems) | 76 |
| 16 | OS | HarmonyOS (Huawei) | 67 |
| 17 | OS | Android (Google) | 61 |
| 18 | OS | Microsoft Windows RT 8.1 (マイクロソフト) | 49 |
| 18 | OS | Microsoft Windows 8.1 (マイクロソフト) | 49 |
| 20 | その他 | GPAC (GPAC) | 46 |
3. 脆弱性対策情報の活用状況
表3-1は2023年第1四半期(1月~3月)にアクセスの多かったJVN iPediaの脆弱性対策情報の上位20件を示したもの。
本四半期は、前四半期に続いてWordPressやWordPress用のプラグインの脆弱性が多くランクインした。
表3-1. JVN iPediaの脆弱性対策情報へのアクセス 上位20件 [2023年1月~2023年3月]
表3-2は国内の製品開発者から収集した脆弱性対策情報でアクセスの多かった上位5件を示している。
表3-2. 国内の製品開発者から収集した脆弱性対策情報へのアクセス上位5件 [2023年1月~2023年3月]
| 順位 | ID/タイトル | CVSSv2基本値 | CVSSv3基本値 | 公開日 | アクセス数 |
|---|---|---|---|---|---|
| 1 | JVNDB-2023-001008Hitachi Tuning Manager におけるファイルおよびディレクトリパーミッションの脆弱性 | – | 6.6 | 2023年 1月18日 | 3,547 |
| 2 | JVNDB-2022-002771JP1/Automatic Operation におけるユーザ認証に関わる情報露出の脆弱性 | – | 3.3 | 2022年 12月7日 | 2,688 |
| 3 | JVNDB-2022-002443Hitachi Storage Plug-in for VMware vCenter における権限昇格の脆弱性 | – | 5.4 | 2022年 10月5日 | 2,490 |
| 4 | JVNDB-2022-002364uCosminexus TP1/Client/J および Cosminexus Service Coordinator における DoS 脆弱性 | – | – | 2022年 9月14日 | 2,487 |
| 5 | JVNDB-2022-002143Hitachi Automation Director および Hitachi Ops Center Automator における情報露出の脆弱性 | – | – | 2022年 8月1日 | 2,455 |
注釈
- 注釈1Japan Vulnerability Notes:脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
- 注釈2National Institute of Standards and Technology:米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
- 注釈3National Vulnerability Database:NISTが運営する脆弱性データベース。
- 注釈4IPA:「脆弱性対処に向けた製品開発者向けガイド」
- 注釈5IPA:「安全なウェブサイトの作り方」
- 注釈6IPA:「脆弱性体験学習ツール AppGoat」
- 注釈7IPA:「JVN iPedia データフィード」
- 注釈8IPA:「脆弱性対策の効果的な進め方(実践編)」
