情報セキュリティ
公開日:2023年7月19日
最終更新日:2023年7月19日
独立行政法人情報処理推進機構
脆弱性対策情報データベース「JVN iPedia」は、ソフトウェア製品に関する脆弱性対策情報を2007年4月25日から日本語で公開しています。システム管理者が迅速に脆弱性対策を行えるよう、1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情報ポータルサイトJVN(注釈1)で公表した脆弱性対策情報、3)米国国立標準技術研究所NIST(注釈2)の脆弱性データベース「NVD(注釈3)」が公開した脆弱性対策情報を集約、翻訳しています。
脆弱性対策情報の登録件数の累計は158,560件
2023年第2四半期(2023年4月1日から6月30日まで)にJVN iPedia日本語版へ登録した脆弱性対策情報は表1-1の通りとなり(注釈4)、2007年4月25日にJVN iPediaの公開を開始してから本四半期までの、脆弱性対策情報の登録件数の累計は158,560件になりました(表1-1、図1-1)。
また、JVN iPedia英語版へ登録した脆弱性対策情報は表1-1の通り、累計で2,629件になりました。
|
情報の収集元
|
登録件数
|
累計件数
|
---|---|---|---|
日本語版
|
国内製品開発者
|
2件
|
263件
|
JVN
|
254件
|
12,435件
|
|
NVD
|
3,362件
|
145,860件
|
|
計
|
3,618件
|
158,560件
|
|
英語版
|
国内製品開発者
|
3件
|
269件
|
JVN
|
54件
|
2,360件
|
|
計
|
57件
|
2,629件
|
図2-1は、2023年第2四半期(4月~6月)にJVN iPediaへ登録した脆弱性対策情報を、共通脆弱性タイプ一覧(CWE)によって分類し、件数を集計したものです。
集計結果は件数が多い順に、CWE-79(クロスサイトスクリプティング)が460件、CWE-89(SQLインジェクション)が262件、CWE-787(境界外書き込み)が249件、CWE-20(不適切な入力確認)が178件、CWE-125(境界外読み取り)が140件でした。最も件数の多かったCWE-79(クロスサイトスクリプティング)は、悪用されると偽のウェブページが表示されたり、情報が漏えいしたりするおそれがあります。
製品開発者は、ソフトウェアの企画・設計段階から、脆弱性の低減に努めることが求められます。IPAではそのための資料やツールとして、開発者が実施すべき脆弱性対処をまとめた資料「脆弱性対処に向けた製品開発者向けガイド(注釈5)」、開発者や運営者がセキュリティを考慮したウェブサイトを作成するための資料「安全なウェブサイトの作り方 (注釈6)」、脆弱性の仕組みを実習形式や演習機能で学ぶことができる脆弱性体験学習ツール「AppGoat(注釈7)」などを公開しています。
図2-2はJVN iPediaに登録済みの脆弱性対策情報をCVSSv2の値に基づいて深刻度別に分類し、登録年別にその推移を示したものです。2023年にJVN iPediaに登録した脆弱性対策情報は深刻度別に、レベル3が全体の20.2%、レベル2が65.7%、レベル1が14.0%となっており、情報の漏えいや改ざんされるような危険度が高い脅威であるレベル2以上が85.9%を占めています。
図2-3はJVN iPediaに登録済みの脆弱性対策情報をCVSSv3の値に基づいて深刻度別に分類し、登録年別にその推移を示したものです。2023年にJVN iPediaに登録した脆弱性対策情報は深刻度別に、「緊急」が全体の16.8%、「重要」が40.5%、「警告」が40.9%、「注意」が1.8%となっています。
既知の脆弱性による脅威を回避するため、製品開発者は常日頃から新たに報告される脆弱性対策情報に注意を払うと共に、脆弱性が解消されている製品へのバージョンアップやアップデートなどを速やかに行ってください。
なお、新たに登録したJVN iPediaの情報を、RSS形式やXML形式(注釈8) で公開しています。
図2-4はJVN iPediaに登録済みの脆弱性対策情報をソフトウェア製品の種類別に件数を集計し、年次でその推移を示したものです。2023年で最も多い種別は「アプリケーション」に関する脆弱性対策情報で、2023年の件数全件の71.5%(4,722件/全6,604件)を占めています。
図2-5は重要インフラなどで利用される、産業用制御システムに関する脆弱性対策情報の件数を集計し、年次でその推移を示したものです。これまでに累計で4,075件を登録しています。
表2-1は2023年第2四半期(4月~6月)にJVN iPediaへ登録された脆弱性対策情報の中で登録件数が多かった製品上位20件を示したものです。
本四半期においてはクアルコムが提供するQualcomm componentが1位となりました。2位以降はマイクロソフトが提供するWindows、Fedora Projectが提供するFedora、Googleが提供するAndroidなどのOS製品が上位にランクインしています。
JVN iPediaは、表に記載されている製品以外にも幅広い脆弱性対策情報を登録公開しています。製品の利用者や開発者は、自組織などで使用しているソフトウェアの脆弱性対策情報を迅速に入手し、効率的な対策に役立ててください(注釈9)。
順位
|
カテゴリ
|
製品名(ベンダ名)
|
登録件数
|
---|---|---|---|
1
|
ファームウェア
|
Qualcomm component (クアルコム)
|
420
|
2
|
OS
|
Microsoft Windows Server 2022 (マイクロソフト)
|
138
|
3
|
OS
|
Microsoft Windows Server 2019 (マイクロソフト)
|
135
|
4
|
OS
|
Fedora (Fedora Project)
|
134
|
5
|
OS
|
Microsoft Windows Server 2016 (マイクロソフト)
|
126
|
6
|
OS
|
Microsoft Windows 11 (マイクロソフト)
|
124
|
7
|
OS
|
Microsoft Windows 10 (マイクロソフト)
|
119
|
8
|
OS
|
Android (Google)
|
116
|
9
|
OS
|
Microsoft Windows Server 2012 (マイクロソフト)
|
115
|
10
|
OS
|
Debian GNU/Linux (Debian)
|
109
|
11
|
OS
|
Microsoft Windows Server 2008 (マイクロソフト)
|
85
|
12
|
その他
|
Insteon Hub (Insteon)
|
81
|
13
|
その他
|
Bentley View (Bentley Systems)
|
80
|
14
|
ファームウェア
|
RLC-410w ファームウェア (Reolink Digital Technology)
|
78
|
14
|
その他
|
MicroStation (Bentley Systems)
|
78
|
16
|
その他
|
MicroStation Connect (Bentley Systems)
|
71
|
17
|
ブラウザ
|
Google Chrome (Google)
|
64
|
18
|
その他
|
Google TensorFlow (Google)
|
56
|
19
|
OS
|
Linux Kernel (Linux)
|
44
|
20
|
PDF閲覧・編集
|
PDF-XChange Editor (Tracker Software Products)
|
37
|
表3-1は2023年第2四半期(4月~6月)にアクセスが多かったJVN iPediaの脆弱性対策情報の上位20件を示したものです。
本四半期は、前四半期に続いてWordPress用のプラグインの脆弱性が多くランクインしました。また上位に2022年公開のものがランクインしていますが、これは特定の組織より機械的なアクセスを受けたことによるものです。
順位
|
ID/タイトル
|
CVSSv2
基本値
|
CVSSv3
基本値
|
公開日
|
アクセス数
|
---|---|---|---|---|---|
1
|
JVNDB-2021-015177
|
7.5
|
9.8
|
2022年
11月11日 |
10,944
|
2
|
JVNDB-2021-015181
|
7.5
|
9.8
|
2022年
11月11日 |
10,700
|
3
|
JVNDB-2021-015197
|
7.5
|
9.8
|
2022年
11月11日 |
10,288
|
4
|
JVNDB-2021-015198
|
7.5
|
9.8
|
2022年
11月11日 |
9,594
|
5
|
JVNDB-2022-002693
|
-
|
9.8
|
2022年
11月11日 |
8,815
|
6
|
JVNDB-2022-002694
|
-
|
9.8
|
2022年
11月11日 |
7,934
|
7
|
JVNDB-2023-000039
|
2.6
|
4.3
|
2023年
4月19日 |
7,875
|
8
|
JVNDB-2022-002695
|
-
|
9.8
|
2022年
11月11日 |
7,400
|
9
|
JVNDB-2022-000091
|
5.0
|
5.3
|
2022年
11月18日 |
7,378
|
10
|
JVNDB-2023-000007
|
5.0
|
7.5
|
2023年
1月17日 |
7,316
|
11
|
JVNDB-2023-000040
|
2.6
|
6.1
|
2023年
4月24日 |
7,233
|
12
|
JVNDB-2022-000087
|
5.0
|
5.3
|
2022年
11月8日 |
7,128
|
13
|
JVNDB-2022-000085
|
2.6
|
6.1
|
2022年
11月8日 |
6,851
|
14
|
JVNDB-2022-000038
|
2.6
|
6.1
|
2022年
5月24日 |
6,791
|
15
|
JVNDB-2022-000041
|
4.0
|
5.4
|
2022年
6月1日 |
6,790
|
16
|
JVNDB-2023-000050
|
7.5
|
8.3
|
2023年
5月15日 |
6,760
|
17
|
JVNDB-2023-000042
|
2.6
|
6.1
|
2023年
5月9日 |
6,405
|
18
|
JVNDB-2022-002696
|
-
|
9.8
|
2022年
11月11日 |
6,379
|
19
|
JVNDB-2022-000057
|
2.6
|
6.1
|
2022年
7月25日 |
6,253
|
20
|
JVNDB-2022-000026
|
2.6
|
4.3
|
2022年
4月15日 |
6,163
|
表3-2は国内の製品開発者から収集した脆弱性対策情報でアクセスの多かった上位5件を示しています。
順位
|
ID/タイトル
|
CVSSv2
基本値
|
CVSSv3
基本値
|
公開日
|
アクセス数
|
---|---|---|---|---|---|
1
|
JVNDB-2023-001492
|
-
|
7.1
|
2023年
4月12日 |
4,685
|
2
|
JVNDB-2023-001926
|
-
|
7.6
|
2023年
5月23日 |
3,359
|
3
|
JVNDB-2023-001008
|
-
|
6.6
|
2023年
1月18日 |
2,814
|
4
|
JVNDB-2023-001269
|
-
|
6.6
|
2023年
3月1日 |
2,787
|
5
|
JVNDB-2022-002771
|
-
|
3.3
|
2022年
12月7日 |
2,721
|
IPA セキュリティセンター 大友/亀山