1. HOME
  2. ブログ
  3. IPA 脆弱性対策情報データベースJVN iPediaの登録状況 [2023年第1四半期(1月〜3月)]

IPA 脆弱性対策情報データベースJVN iPediaの登録状況 [2023年第1四半期(1月〜3月)]

1. 2023年第1四半期 脆弱性対策情報データベース JVN iPediaの登録状況

脆弱性対策情報データベース「JVN iPedia」は、ソフトウェア製品に関する脆弱性対策情報を2007年4月25日から日本語で公開している。システム管理者が迅速に脆弱性対策を行えるよう、1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情報ポータルサイトJVN(注釈1)で公表した脆弱性対策情報、3)米国国立標準技術研究所NIST(注釈2)の脆弱性データベース「NVD(注釈3)」が公開した脆弱性対策情報を集約、翻訳している。

1-1. 脆弱性対策情報の登録状況

脆弱性対策情報の登録件数の累計は154,942件

2023年第1四半期(2023年1月1日から3月31日まで)にJVN iPedia日本語版へ登録した脆弱性対策情報は表1-1の通りとなり、2007年4月25日にJVN iPediaの公開を開始してから本四半期までの、脆弱性対策情報の登録件数の累計は154,942件になった(表1-1、図1-1)。
また、JVN iPedia英語版へ登録した脆弱性対策情報は表1-1の通り、累計で2,572件に。

表1-1.2023年第1四半期の登録件数

  情報の収集元登録件数累計件数
日本語版国内製品開発者2件263件
JVN180件12,149件
NVD2,804件142,530件
2,986件154,942件
英語版国内製品開発者2件266件
JVN43件2,306件
45件2,572件

2. JVN iPediaの登録データ分類

2-1. 脆弱性の種類別件数

図2-1は、2023年第1四半期(1 月~3 月)にJVN iPediaへ登録した脆弱性対策情報を、共通脆弱性タイプ一覧(CWE)によって分類し、件数を集計したもの。

集計結果は件数が多い順に、CWE-79(クロスサイトスクリプティング)が343件、CWE-787(境界外書き込み)が262件、CWE-89(SQLインジェクション)が140件、CWE-416(解放済みメモリの使用)が94件、CWE-125(境界外読み取り)が83件でした。最も件数の多かったCWE-79(クロスサイトスクリプティング)は、悪用されると偽のウェブページが表示されたり、情報が漏えいしたりするおそれがある。

製品開発者は、ソフトウェアの企画・設計段階から、脆弱性の低減に努めることが求められる。IPAではそのための資料やツールとして、開発者が実施すべき脆弱性対処をまとめた資料「脆弱性対処に向けた製品開発者向けガイド(注釈4)」、開発者や運営者がセキュリティを考慮したウェブサイトを作成するための資料「安全なウェブサイトの作り方 (注釈5)」、脆弱性の仕組みを実習形式や演習機能で学ぶことができる脆弱性体験学習ツール「AppGoat(注釈6)」などを公開している。

2-2. 脆弱性に関する深刻度別割合

図2-2はJVN iPediaに登録済みの脆弱性対策情報をCVSSv2の値に基づいて深刻度別に分類し、登録年別にその推移を示したもの。2023年にJVN iPediaに登録した脆弱性対策情報は深刻度別に、レベル3が全体の20.6%、レベル2が65.9%、レベル1が13.6%となっており、情報の漏えいや改ざんされるような危険度が高い脅威であるレベル2以上が86.5%を占めている。

図2-3はJVN iPediaに登録済みの脆弱性対策情報をCVSSv3の値に基づいて深刻度別に分類し、登録年別にその推移を示したもの。2023年にJVN iPediaに登録した脆弱性対策情報は深刻度別に、「緊急」が全体の15.5%、「重要」が42.1%、「警告」が40.4%、「注意」が1.9%となっている。

既知の脆弱性による脅威を回避するため、製品開発者は常日頃から新たに報告される脆弱性対策情報に注意を払うと共に、脆弱性が解消されている製品へのバージョンアップやアップデートなどを速やかに行ってほしい。

なお、新たに登録したJVN iPediaの情報を、RSS形式やXML形式(注釈7) で公開している。

2-3. 脆弱性対策情報を公開した製品の種類別件数

図2-4はJVN iPediaに登録済みの脆弱性対策情報をソフトウェア製品の種類別に件数を集計し、年次でその推移を示したもの。2023年で最も多い種別は「アプリケーション」に関する脆弱性対策情報で、2023年の件数全件の72.2%(2,156件/全2,986件)を占めている。

図2-5は重要インフラなどで利用される、産業用制御システムに関する脆弱性対策情報の件数を集計し、年次でその推移を示したもの。これまでに累計で3,929件を登録している。

2-4. 脆弱性対策情報の製品別登録状況

表2-1は2023年第1四半期(1月~3月)にJVN iPediaへ登録された脆弱性対策情報の中で登録件数が多かった製品上位20件を示したもの。

本四半期においてはクアルコムが提供するQualcomm componentが1位となった。2位以降はMozilla Foundationが提供するブラウザやメールソフト、マイクロソフト社が提供するWindows OSが上位にランクインしている。

JVN iPediaは、表に記載されている製品以外にも幅広い脆弱性対策情報を登録公開している。製品の利用者や開発者は、自組織などで使用しているソフトウェアの脆弱性対策情報を迅速に入手し、効率的な対策に役立ててほしい(注釈8)。

表2-1. 製品別JVN iPediaの脆弱性対策情報登録件数 上位20件 [2023年1月~2022年3月]

順位カテゴリ製品名(ベンダ名)登録件数
1ファームウェアQualcomm component (クアルコム)382
2ブラウザMozilla Firefox (Mozilla Foundation)154
3OSMicrosoft Windows 10 (マイクロソフト)151
4OSMicrosoft Windows 11 (マイクロソフト)150
5OSMicrosoft Windows Server 2022 (マイクロソフト)147
6OSMicrosoft Windows Server 2019 (マイクロソフト)141
7OSMicrosoft Windows Server 2016 (マイクロソフト)133
8OSMicrosoft Windows Server 2012 (マイクロソフト)126
9メールソフトMozilla Thunderbird (Mozilla Foundation)116
10ブラウザMozilla Firefox ESR (Mozilla Foundation)103
11OSDebian GNU/Linux (Debian)100
12OSMicrosoft Windows Server 2008 (マイクロソフト)95
13OSFedora (Fedora Project)83
14その他MicroStation (Bentley Systems)76
14その他Bentley View (Bentley Systems)76
16OSHarmonyOS (Huawei)67
17OSAndroid (Google)61
18OSMicrosoft Windows RT 8.1 (マイクロソフト)49
18OSMicrosoft Windows 8.1 (マイクロソフト)49
20その他GPAC (GPAC)46

3. 脆弱性対策情報の活用状況

表3-1は2023年第1四半期(1月~3月)にアクセスの多かったJVN iPediaの脆弱性対策情報の上位20件を示したもの。

本四半期は、前四半期に続いてWordPressやWordPress用のプラグインの脆弱性が多くランクインした。

表3-1. JVN iPediaの脆弱性対策情報へのアクセス 上位20件 [2023年1月~2023年3月]

順位ID/タイトルCVSSv2基本値CVSSv3基本値公開日アクセス数
1JVNDB-2023-000007WordPress 用プラグイン Welcart e-Commerce におけるディレクトリトラバーサルの脆弱性5.07.52023年
1月17日
6,778
2JVNDB-2022-000087WordPress における複数の脆弱性5.05.32022年
11月8日
5,547
3JVNDB-2022-000091WordPress 用プラグイン WordPress Popular Posts における外部入力の不適切な使用に関する脆弱性5.05.32022年
11月18日
5,354
4JVNDB-2022-000023WordPress 用プラグイン Advanced Custom Fields における認証欠如の脆弱性4.06.52022年
3月30日
5,037
5JVNDB-2022-000085WordPress 用プラグイン Salon booking system におけるクロスサイトスクリプティングの脆弱性2.66.12022年
11月8日
4,995
6JVNDB-2022-000057WordPress 用プラグイン Newsletter におけるクロスサイトスクリプティングの脆弱性2.66.12022年
7月25日
4,975
7JVNDB-2022-000038WordPress 用プラグイン WP Statistics におけるクロスサイトスクリプティングの脆弱性2.66.12022年
5月24日
4,943
8JVNDB-2022-000041WordPress 用プラグイン Modern Events Calendar Lite におけるクロスサイトスクリプティングの脆弱性4.05.42022年
6月1日
4,924
9JVNDB-2022-000026WordPress 用プラグイン「MicroPayments – Paid Author Subscriptions, Content, Downloads, Membership」におけるクロスサイトリクエストフォージェリの脆弱性2.64.32022年
4月15日
4,919
10JVNDB-2022-000002WordPress 用プラグイン Quiz And Survey Master における複数の脆弱性4.05.42022年
1月12日
4,916
11JVNDB-2023-000001ruby-git における複数のコードインジェクションの脆弱性6.05.52023年
1月5日
4,839
12JVNDB-2023-000002デジタルアーツ製 m-FILTER における認証不備の脆弱性4.35.32023年
1月6日
4,610
13JVNDB-2023-000011Android アプリ「スシロー」におけるログファイルからの情報漏えいの脆弱性4.96.22023年
1月31日
4,594
14JVNDB-2021-000109WordPress 用プラグイン Advanced Custom Fields における複数の認証欠如の脆弱性4.04.32021年
12月2日
4,384
15JVNDB-2023-000013スマートフォンアプリ「一蘭公式アプリ」におけるサーバ証明書の検証不備の脆弱性4.06.52023年
2月6日
4,362
16JVNDB-2023-000005MAHO-PBX NetDevancerシリーズにおける複数の脆弱性10.09.82023年
1月11日
4,327
17JVNDB-2023-000004pgAdmin 4 におけるオープンリダイレクトの脆弱性4.34.72023年
1月11日
4,265
18JVNDB-2023-001220Apache Tomcat の Apache Commons FileUpload におけるサービス運用妨害(DoS)の脆弱性2023年
2月22日
4,227
19JVNDB-2021-000104WordPress 用プラグイン Browser and Operating System Finder におけるクロスサイトリクエストフォージェリの脆弱性2.64.32021年
11月25日
4,208
20JVNDB-2021-000103WordPress 用プラグイン Push Notifications for WordPress (Lite) におけるクロスサイトリクエストフォージェリの脆弱性2.64.32021年
11月16日
4,189

表3-2は国内の製品開発者から収集した脆弱性対策情報でアクセスの多かった上位5件を示している。

表3-2. 国内の製品開発者から収集した脆弱性対策情報へのアクセス上位5件 [2023年1月~2023年3月]

順位ID/タイトルCVSSv2基本値CVSSv3基本値公開日アクセス数
1JVNDB-2023-001008Hitachi Tuning Manager におけるファイルおよびディレクトリパーミッションの脆弱性6.62023年
1月18日
3,547
2JVNDB-2022-002771JP1/Automatic Operation におけるユーザ認証に関わる情報露出の脆弱性3.32022年
12月7日
2,688
3JVNDB-2022-002443Hitachi Storage Plug-in for VMware vCenter における権限昇格の脆弱性5.42022年
10月5日
2,490
4JVNDB-2022-002364uCosminexus TP1/Client/J および Cosminexus Service Coordinator における DoS 脆弱性2022年
9月14日
2,487
5JVNDB-2022-002143Hitachi Automation Director および Hitachi Ops Center Automator における情報露出の脆弱性2022年
8月1日
2,455

注釈

  1. 注釈1Japan Vulnerability Notes:脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
  2. 注釈2National Institute of Standards and Technology:米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
  3. 注釈3National Vulnerability Database:NISTが運営する脆弱性データベース。
  4. 注釈4IPA:「脆弱性対処に向けた製品開発者向けガイド」
  5. 注釈5IPA:「安全なウェブサイトの作り方」
  6. 注釈6IPA:「脆弱性体験学習ツール AppGoat」
  7. 注釈7IPA:「JVN iPedia データフィード」
  8. 注釈8IPA:「脆弱性対策の効果的な進め方(実践編)」

資料のダウンロード

参考情報

出典:IPA 脆弱性対策情報データベースJVN iPediaの登録状況 [2023年第1四半期(1月〜3月)]

関連記事

サイバーセキュリティの課題をテーマ別に紹介中!!