脆弱性対策情報データベースJVN iPediaの登録状況 [2024年第1四半期（1月〜3月）]

公開日：2024年4月17日

最終更新日：2024年4月17日

独立行政法人情報処理推進機構

1. 2024年第1四半期脆弱性対策情報データベース JVN iPediaの登録状況

脆弱性対策情報データベース「JVN iPedia」は、ソフトウェア製品に関する脆弱性対策情報を2007年4月25日から日本語で公開しています。システム管理者が迅速に脆弱性対策を行えるよう、1）国内のソフトウェア開発者が公開した脆弱性対策情報、2）脆弱性対策情報ポータルサイトJVN(注釈1)で公表した脆弱性対策情報、3）米国国立標準技術研究所NIST(注釈2)の脆弱性データベース「NVD(注釈3)」が公開した脆弱性対策情報を集約、翻訳しています。

1-1. 脆弱性対策情報の登録状況

脆弱性対策情報の登録件数の累計は206,571件

2024年第1四半期（2024年1月1日から3月31日まで）にJVN iPedia日本語版へ登録した脆弱性対策情報は表1-1の通りとなり、2007年4月25日にJVN iPediaの公開を開始してから本四半期までの、脆弱性対策情報の登録件数の累計は206,571件になりました（表1-1、図1-1）。なお、2023年第3四半期以降にJVN iPediaの登録件数が増えている理由は、当該期間中に脆弱性が世の中に多く発見されたということを意味するものではなく、公開が遅れていた主に昨年の脆弱性がJVN iPediaの運用方法の変更に伴い多数公開されたためです。

また、JVN iPedia英語版へ登録した脆弱性対策情報は表1-2の通り、累計で2,787件になりました。

表1-1．2024年第1四半期の登録件数(日本語版)
情報の収集元	登録件数	累計件数
国内製品開発者	5件	280件
JVN	684件	15,239件
NVD	12,010件	191,052件
計	12,699件	206,571件

表1-2．2024年第1四半期の登録件数(英語版)
情報の収集元	登録件数	累計件数
国内製品開発者	5件	284件
JVN	58件	2,503件
計	63件	2,787件

2. JVN iPediaの登録データ分類

2-1. 脆弱性の種類別件数

図2-1は、2024年第1四半期（1月～3月）にJVN iPediaへ登録した脆弱性対策情報を、共通脆弱性タイプ一覧(CWE)によって分類し、件数を集計したものです。

集計結果は件数が多い順に、CWE-79（クロスサイトスクリプティング）が2,198件、CWE-787（境界外書き込み）が891件、CWE-89（SQLインジェクション）が876件、CWE-352（クロスサイト・リクエスト・フォージェリ）が611件、CWE-862（認証の欠如）が328件でした。最も件数の多かったCWE-79（クロスサイトスクリプティング）は、悪用されると偽のウェブページが表示されたり、情報が漏えいしたりするおそれがあります。

製品開発者は、ソフトウェアの企画・設計段階から、脆弱性の低減に努めることが求められます。IPAではそのための資料やツールとして、開発者が実施すべき脆弱性対処をまとめた資料「脆弱性対処に向けた製品開発者向けガイド(注釈4)」、開発者や運営者がセキュリティを考慮したウェブサイトを作成するための資料「安全なウェブサイトの作り方 (注釈5)」、脆弱性の仕組みを実習形式や演習機能で学ぶことができる脆弱性体験学習ツール「AppGoat(注釈6)」などを公開しています。

2-2. 脆弱性に関する深刻度別割合

図2-2はJVN iPediaに登録済みの脆弱性対策情報をCVSSv2の値に基づいて深刻度別に分類し、登録年別にその推移を示したものです。2024年にJVN iPediaに登録した脆弱性対策情報は深刻度別に、レベル3が全体の4.2%、レベル2が66.0%、レベル1が29.8%となっており、情報の漏えいや改ざんされるような危険度が高い脅威であるレベル2以上が70.2％を占めています。なお、2024年にJVN iPediaにおけるCVSSv2の登録件数が大幅に減少した理由は、JVN iPediaの情報収集元であるNVDにおいてCVSSv2の評価が積極的には行われていない(注釈7)ためです。

図2-3はJVN iPediaに登録済みの脆弱性対策情報をCVSSv3の値に基づいて深刻度別に分類し、登録年別にその推移を示したものです。2024年にJVN iPediaに登録した脆弱性対策情報は深刻度別に、「緊急」が全体の17.1%、「重要」が37.6%、「警告」が43.8%、「注意」が1.5%となっています。

既知の脆弱性による脅威を回避するため、製品開発者は常日頃から新たに報告される脆弱性対策情報に注意を払うと共に、脆弱性が解消されている製品へのバージョンアップやアップデートなどを速やかに行ってください。

なお、新たに登録したJVN iPediaの情報を、RSS形式やXML形式(注釈8) で公開しています。

2-3. 脆弱性対策情報を公開した製品の種類別件数

図2-4はJVN iPediaに登録済みの脆弱性対策情報をソフトウェア製品の種類別に件数を集計し、年次でその推移を示したものです。2024年で最も多い種別は「アプリケーション」に関する脆弱性対策情報で、2024年の件数全件の約74.7%（9,481件／全12,698件）を占めています。

図2-5は重要インフラなどで利用される、産業用制御システムに関する脆弱性対策情報の件数を集計し、年次でその推移を示したものです。これまでに累計で6,162件を登録しています。

2-4. 脆弱性対策情報の製品別登録状況

表2-1は2024年第1四半期（1月～3月）にJVN iPediaへ登録された脆弱性対策情報の中で登録件数が多かった製品上位20件を示したものです。

本四半期においてはクアルコムが提供するQualcomm componentが1位となりました。2位以降はGoogle、アップル、マイクロソフトなど、幅広いベンダのOSがランクインをしました。

JVN iPediaは、表に記載されている製品以外にも幅広い脆弱性対策情報を登録公開しています。製品の利用者や開発者は、自組織などで使用しているソフトウェアの脆弱性対策情報を迅速に入手し、効率的な対策に役立ててください（注釈9）。

表2-1. 製品別JVN iPediaの脆弱性対策情報登録件数上位20件 [2024年1月～2024年3月]
順位	カテゴリ	製品名（ベンダ名）	登録件数
1	ファームウェア	Qualcomm component (クアルコム)	2,889
2	OS	Android (Google)	521
3	OS	macOS (アップル)	292
4	OS	Fedora (Fedora Project)	236
5	OS	Linux Kernel (Linux)	203
6	CMS	Adobe Experience Manager (アドビ)	199
7	OS	Debian GNU/Linux (Debian)	194
8	OS	iPadOS (アップル)	183
8	OS	iOS (アップル)	183
10	ブラウザ	Google Chrome (Google)	157
11	ブラウザ	Mozilla Firefox (Mozilla Foundation)	148
12	OS	Red Hat Enterprise Linux (レッドハット)	126
13	CMS	Adobe Experience Manager Cloud Service (アドビ)	117
14	OS	HarmonyOS (Huawei)	116
15	OS	EMUI (Huawei)	110
16	OS	watchOS (アップル)	99
17	ブラウザ	Mozilla Firefox ESR (Mozilla Foundation)	87
18	その他	GTKWave (tonybybell)	82
19	OS	Microsoft Windows Server 2022 (マイクロソフト)	80
20	OS	tvOS (アップル)	79

3. 脆弱性対策情報の活用状況

表3-1は2024年第1四半期（1月～3月）にアクセスが多かったJVN iPediaの脆弱性対策情報の上位20件を示したものです。

本四半期は、上位20件中17件が脆弱性対策情報ポータルサイトJVN で公開された脆弱性対策情報でした。

表3-1. JVN iPediaの脆弱性対策情報へのアクセス上位20件 [2024年1月～2024年3月]
順位	ID/タイトル	CVSSv2 基本値	CVSSv3 基本値	公開日	アクセス数
1	JVNDB-2024-000001 WordPress 用プラグイン WordPress Quiz Maker Plugin における不適切な入力確認の脆弱性	4.0	5.0	2024年 1月12日	6,915
2	JVNDB-2024-002050 キヤノン製スモールオフィス向け複合機およびレーザービームプリンターにおける複数の境界外書き込みの脆弱性	-	9.8	2024年 2月7日	6,616
3	JVNDB-2023-012042 WordPress 用プラグイン MW WP Form に任意のファイルをアップロードされる脆弱性	-	9.8	2023年 12月15日	6,513
4	JVNDB-2024-000028 SKYSEA Client View における複数の脆弱性	4.3	7.8	2024年 3月7日	6,020
5	JVNDB-2022-012258 The JForum Team の Jforum におけるクロスサイトリクエストフォージェリの脆弱性	6.8	8.8	2023年 8月28日	6,011
6	JVNDB-2024-001002 複数の TP-Link 製品における OS コマンドインジェクションの脆弱性	-	7.5	2024年 1月10日	5,814
7	JVNDB-2024-000013 Android アプリ「Spoon (スプーン)」に外部サービスの API キーがハードコードされている問題	2.1	4.0	2024年 1月23日	5,610
8	JVNDB-2024-002837 マイクロソフトの複数の Microsoft Windows 製品における権限を昇格される脆弱性	-	7.8	2024年 2月22日	5,566
9	JVNDB-2024-000004 Drupal における特定の構造を持つ入力に対する不適切な取り扱いの脆弱性	5.0	5.3	2024年 1月16日	5,490
10	JVNDB-2024-000020 エレコム製無線 LAN ルーターにおける複数の脆弱性	3.5	4.8	2024年 2月20日	5,465
11	JVNDB-2023-000126 PowerCMS における複数の脆弱性	3.5	5.4	2023年 12月26日	5,374
12	JVNDB-2023-000084 WordPress 用プラグイン Advanced Custom Fields におけるクロスサイトスクリプティングの脆弱性	3.5	5.4	2023年 8月21日	5,343
13	JVNDB-2024-000011 a-blog cms における複数の脆弱性	4.3	6.1	2024年 1月22日	5,335
14	JVNDB-2024-001062 ヤマハ製無線 LAN アクセスポイントに利用可能なデバッグ機能が存在している脆弱性	5.2	6.8	2024年 1月24日	5,328
15	JVNDB-2024-000002 サーマルカメラ TMC シリーズにおける技術情報の提供が不十分な問題	1.7	2.1	2024年 1月15日	5,301
16	JVNDB-2023-000125 バッファロー製 VR-S1000 における複数の脆弱性	5.2	6.8	2023年 12月26日	5,189
17	JVNDB-2024-000005 Android アプリ「メルカリ」におけるアクセス制限不備の脆弱性	4.3	3.3	2024年 1月24日	5,152
18	JVNDB-2024-000027 富士フイルムビジネスイノベーション製プリンターにおけるクロスサイトリクエストフォージェリの脆弱性	2.6	6.5	2024年 3月6日	5,141
19	JVNDB-2024-002832 Hitachi Global Link Manager における EL インジェクションの脆弱性	-	7.6	2024年 2月21日	5,122
20	JVNDB-2024-002942 オムロン製マシンオートメーションコントローラ NJ/NX シリーズにおけるパストラバーサルの脆弱性	-	7.2	2024年 3月8日	5,109

表3-2は国内の製品開発者から収集した脆弱性対策情報でアクセスの多かった上位5件を示しています。

表3-2. 国内の製品開発者から収集した脆弱性対策情報へのアクセス上位5件 [2024年1月～2024年3月]
順位	ID/タイトル	CVSSv2 基本値	CVSSv3 基本値	公開日	アクセス数
1	JVNDB-2024-002832 Hitachi Global Link Manager における EL インジェクションの脆弱性	-	7.6	2024年 2月21日	5,122
2	JVNDB-2024-001160 Hitachi Storage Plug-in for VMware vCenter におけるファイルおよびディレクトリパーミッションの脆弱性	-	7.9	2024年 1月31日	4,711
3	JVNDB-2024-002961 Cosminexus Component Container における情報露出の脆弱性	-	5.6	2024年 3月13日	3,829
4	JVNDB-2023-003771 JP1/Performance Management におけるファイルおよびディレクトリパーミッションの脆弱性	-	8.4	2023年 10月4日	3,100
5	JVNDB-2023-009619 DT900 における OS コマンドインジェクションの脆弱性	-	-	2023年 12月6日	2,961