アーカイブ

脆弱性対策情報データベースJVN iPediaの登録状況 [2018年第2四半期(4月~6月)]

独立行政法人情報処理推進機構
最終更新日:2018年7月24日

1. 2018年第2四半期 脆弱性対策情報データベース JVN iPediaの登録状況

 脆弱性対策情報データベース「JVN iPedia( https://jvndb.jvn.jp/ )」は、ソフトウェア製品に関する脆弱性対策情報を2007年4月25日から日本語で公開しています。システム管理者が迅速に脆弱性対策を行えるよう、1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情報ポータルサイトJVN(*1)で公表した脆弱性対策情報、3)米国国立標準技術研究所NIST(*2)の脆弱性データベース「NVD(*3)」が公開した脆弱性対策情報を集約、翻訳しています。

1-1. 脆弱性対策情報の登録状況

~脆弱性対策情報の登録件数の累計は85,280件~

 2018年第2四半期(2018年4月1日から6月30日まで)にJVN iPedia日本語版へ登録した脆弱性対策情報は下表の通りとなり、脆弱性対策情報の登録件数の累計は、85,280件でした(表1-1、図1-1)。
 また、JVN iPedia英語版へ登録した脆弱性対策情報は下表の通り、累計で1,922件になりました。

表1-1.2018年第2四半期の登録件数
  情報の収集元 登録件数 累計件数
日本語版 国内製品開発者 3 201
JVN 146 8,099
NVD 3,608 76,980
3,757 85,280
英語版 国内製品開発者 3 201
JVN 38 1,721
41 1,922

図1-1. JVN iPediaの登録件数の四半期別推移

2. JVN iPediaの登録データ分類

2-1. 脆弱性の種類別件数

 図2-1は、2018年第2四半期(4月~6月)にJVN iPediaへ登録した脆弱性対策情報を、共通脆弱性タイプ一覧(CWE)によって分類し、件数を集計したものです。

 集計結果は件数が多い順に、CWE-119(バッファエラー)が514件、CWE-79(クロスサイト・スクリプティング)が422件、CWE-200(情報漏えい)が373件、CWE-20(不適切な入力確認)が365件、CWE-264(認可・権限・アクセス制御)が276件でした。最も件数の多かったCWE-119(バッファエラー)は、悪用されるとサーバやPC上で悪意のあるコードが実行され、データを盗み見られたり、改ざんされたりなどの被害が発生する可能性があります。

 製品開発者は、ソフトウェアの企画・設計段階から、脆弱性の低減に努めることが求められます。なお、IPAではそのための資料やツールとして、開発者や運営者がセキュリティを考慮したウェブサイトを作成するための資料「安全なウェブサイトの作り方 (*4)」や、「IPAセキュア・プログラミング講座(*5)」、脆弱性の仕組みを実習形式や演習機能で学ぶことができる脆弱性体験学習ツール「AppGoat(*6)」などを公開しています。

2-2. 脆弱性に関する深刻度別割合

 図2-2はJVN iPediaに登録済みの脆弱性対策情報をCVSSv2の値に基づいて深刻度別に分類し、登録年別にその推移を示したものです。

 2018年にJVN iPediaに登録した脆弱性対策情報は深刻度別に、レベルIIIが全体の30.0%、レベルIIが58.7%、レベルIが11.3%となっており、情報の漏えいや改ざんされるような危険度が高い脅威であるレベル2以上が88.7%を占めています。

 図2-3はJVN iPediaに登録済みの脆弱性対策情報をCVSSv3の値に基づいて深刻度別に分類し、登録年別にその推移を示したものです。

 2018年にJVN iPediaに登録した脆弱性対策情報は深刻度別に、「緊急」が全体の18.4%、「重要」が43.5%、「警告」が36.8%、「注意」が1.3%となっております。

 既知の脆弱性による脅威を回避するため、製品開発者は常日頃から新たに報告される脆弱性対策情報に注意を払うと共に、脆弱性が解消されている製品へのバージョンアップやアップデートなどを速やかに行ってください。

 なお、新たに登録したJVN iPediaの情報を、RSS形式やXML形式(*7) で公開しています。

2-3. 脆弱性対策情報を公開した製品の種類別件数

 図2-4はJVN iPediaに登録済みの脆弱性対策情報を、ソフトウェア製品の種類別に件数を集計し、年次でその推移を示したものです。2018年で最も多い種別はアプリケーションに関する脆弱性対策情報で、2018年の件数全件の約73.7%(5,065件/全6,870件)を占めています。

 図2-5は重要インフラなどで利用される、産業用制御システムに関する脆弱性対策情報の件数を集計し、年次でその推移を示したものです。これまでに累計で1,460件を登録しています(図2-5)。

2-4. 脆弱性対策情報の製品別登録状況

 表2-1は2018年第2四半期(4月~6月)にJVN iPediaへ登録された脆弱性対策情報の中で登録件数が多かった製品の上位20件を示したものです。

 今四半期はAndroid製品に多く組み込まれている、クアルコム製プロセッサのファームウェアに関する登録件数が268件(※ SD系やMSM系などのクアルコム製プロセッサのファームウェアを1つのファームウェアとして取扱い、集計)、Android OSが207件と、Android製品に関連する脆弱性が多数公開されています。また、2位以降はOS製品がランキングの大部分を占めており、マイクロソフトやアップルなどといった広く利用されているベンダーの製品に関する脆弱性対策情報を多く登録しています。

 JVN iPediaは、表に記載されている製品以外にも幅広い脆弱性対策情報を登録公開しています。製品の利用者や開発者は、自組織などで使用しているソフトウェアの脆弱性対策情報を迅速に入手し、効率的な対策に役立ててください(*8)

表2-1. 製品別JVN iPediaの脆弱性対策情報登録件数 上位20件 [2018年4月~2018年6月]
順位 カテゴリ 製品名(ベンダ名) 登録件数
1 ファームウェア Qualcomm firmware (クアルコム) 268
2 OS Android (Google) 207
3 OS Debian GNU/Linux (Debian) 171
4 PDF閲覧 Foxit Reader (Foxit Software Inc) 94
5 PDF閲覧・編集 Foxit PhantomPDF(Foxit Software Inc) 89
6 OS iOS(アップル) 87
7 OS Ubuntu(Canonical) 79
8 OS Microsoft Windows 10 (マイクロソフト) 78
9 OS Microsoft Windows Server 2016(マイクロソフト) 73
9 OS Apple Mac OS X(アップル) 73
11 OS tvOS(アップル) 58
12 OS Microsoft Windows 8.1(マイクロソフト) 56
13 OS Microsoft Windows 7(マイクロソフト) 55
14 OS Microsoft Windows Server 2012(マイクロソフト) 54
15 OS Microsoft Windows Server 2008(マイクロソフト) 53
16 OS Microsoft Windows RT 8.1(マイクロソフト) 52
16 バックアップソフト Disk Backup(Quest Software Inc.) 52
18 OS Microsoft Windows Server バージョン 1709
(マイクロソフト)
49
19 OS Linux Kernel(Kernel.org) 47
20 OS watchOS(アップル) 45

3. 脆弱性対策情報の活用状況

 表3-1は2018年第2四半期(4月~6月)にアクセスの多かったJVN iPediaの脆弱性対策情報の上位20件を示したものです。

 1位はPivotal Software, Inc. が提供するSpring Security とSpring Framework に関する脆弱性です。当該製品の対象バージョンがシステムに組み込まれている場合、遠隔の第3者に認証を回避され、情報漏えいする可能性があります。2位はiPhoneやMacに搭載されているsafariの脆弱性で、細工されたドメイン名のサイトに誘導されたユーザのウェブブラウザ上で、任意のスクリプトを実行される可能性があります。3位はサイボウズ株式会社が提供するサイボウズGaroonにおける複数の脆弱性で、ログイン認証の設定における操作制限回避などの様々な影響を受ける可能性があります。

表3-1.JVN iPediaの脆弱性対策情報へのアクセス 上位20件 [2018年4月~2018年6月]
順位 ID タイトル CVSSv2
基本値
CVSSv3
基本値
公開日 アクセス数
1 JVNDB-2018-000008 Spring Security と Spring Framework に認証回避の脆弱性 5.0 5.3 2018/2/2 7,870
2 JVNDB-2018-000029 Safari におけるスクリプトインジェクションの脆弱性 5.8 5.4 2018/3/30 6,629
3 JVNDB-2018-000031 サイボウズ Garoon における複数の脆弱性 5.5 5.4 2018/4/9 6,451
4 JVNDB-2018-000030 SoundEngine Free のインストーラにおける DLL 読み込みに関する脆弱性 6.8 7.8 2018/4/13 6,399
5 JVNDB-2018-002257 JP1/ServerConductor/Deployment Manager および Hitachi Compute Systems Manager におけるサービス運用妨害 (DoS) の脆弱性 7.8 7.5 2018/4/4 6,382
6 JVNDB-2018-000027 WZR-1750DHP2 における複数の脆弱性 8.3 8.8 2018/3/29 6,199
7 JVNDB-2018-000034 Tenable Appliance におけるクロスサイトスクリプティングの脆弱性 4.0 5.4 2018/4/12 6,016
8 JVNDB-2018-000028 LXR における OS コマンドインジェクションの脆弱性 7.5 9.8 2018/3/29 5,962
9 JVNDB-2018-000001 Lhaplus の ZIP64 形式のファイル展開における検証不備の脆弱性 4.3 3.3 2018/1/11 5,949
10 JVNDB-2018-000040 WordPress 用プラグイン Open Graph for Facebook, Google+ and Twitter Card Tags におけるクロスサイトスクリプティングの脆弱性 2.6 6.1 2018/4/27 5,642
11 JVNDB-2018-000033 PhishWall クライアント Internet Explorer版のインストーラにおける DLL 読み込みに関する脆弱性 6.8 7.8 2018/4/12 5,634
12 JVNDB-2018-000013 トレンドマイクロ株式会社製の複数の製品における DLL 読み込みに関する脆弱性 6.8 7.8 2018/2/15 5,595
13 JVNDB-2018-000035 EC-CUBE におけるセッション固定の脆弱性 5.8 4.2 2018/4/17 5,559
14 JVNDB-2018-000041 株式会社セルシス製の複数の製品のインストーラにおける DLL 読み込みに関する脆弱性 6.8 7.8 2018/4/27 5,509
15 JVNDB-2018-000026 Android アプリ「iRemoconWiFi」における SSL サーバ証明書の検証不備の脆弱性 4.0 4.8 2018/3/27 5,453
16 JVNDB-2018-000037 WordPress 用プラグイン Events Manager におけるクロスサイトスクリプティングの脆弱性 3.5 5.4 2018/4/27 5,416
17 JVNDB-2018-000038 WordPress 用プラグイン WP Google Map Plugin におけるクロスサイトスクリプティングの脆弱性 2.6 6.1 2018/4/27 5,398
18 JVNDB-2018-000032 iOSアプリ「はてなブックマーク」におけるアドレスバー偽装の脆弱性 2.6 3.1 2018/4/10 5,366
19 JVNDB-2018-000908 WebProxy におけるディレクトリトラバーサルの脆弱性 7.5 7.3 2018/3/13 5,358
20 JVNDB-2018-000039 WordPress 用プラグイン PixelYourSite におけるクロスサイトスクリプティングの脆弱性 2.6 6.1 2018/4/27 5,333

 表3-2は国内の製品開発者から収集した脆弱性対策情報でアクセスの多かった上位5件を示しています。

表3-2.国内の製品開発者から収集した脆弱性対策情報へのアクセス 上位5件 [2018年4月~2018年6月]
順位 ID タイトル CVSSv2
基本値
CVSSv3
基本値
公開日 アクセス数
1 JVNDB-2018-002257 JP1/ServerConductor/Deployment Manager および Hitachi Compute Systems Manager におけるサービス運用妨害 (DoS) の脆弱性 7.8 7.5 2018/4/4 6,382
2 JVNDB-2016-008607 Cosminexus HTTP Server および Hitachi Web Server における脆弱性 4.3 4.0 2017/6/26 4,891
3 JVNDB-2018-001389 Hitachi Device Manager における XXE 脆弱性 7.8 7.4 2018/2/14 4,310
4 JVNDB-2017-004687 富士通 Interstage List Works におけるクロスサイトスクリプティングの脆弱性 4.3 6.1 2017/7/5 4,181
5 JVNDB-2017-002225 複数の日立製品におけるクロスサイトスクリプティングの脆弱性 4.3 4.7 2017/4/5 4,177

注1) CVSSv2基本値の深刻度による色分け

CVSS基本値 = 0.0~3.9
深刻度=レベルI(注意)
CVSS基本値 = 4.0~6.9
深刻度=レベルII(警告)
CVSS基本値 = 7.0~10.0
深刻度=レベルIII(危険)

注2) CVSSv3基本値の深刻度による色分け

CVSS基本値 = 0.1~3.9
深刻度=注意
CVSS基本値 = 4.0~6.9
深刻度=警告
CVSS基本値 = 7.0~8.9
深刻度=重要
CVSS基本値 = 9.0~10.0
深刻度=緊急

注3) 公開日の年による色分け

2016年以前の公開 2017年の公開 2018年の公開

脚注

(*1) Japan Vulnerability Notes:脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
https://jvn.jp/

(*2) National Institute of Standards and Technology:米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
https://www.nist.gov/

(*3) National Vulnerability Database:NISTが運営する脆弱性データベース。
https://nvd.nist.gov

(*4) IPA:「安全なウェブサイトの作り方」
https://www.ipa.go.jp/security/vuln/websecurity.html

(*5) IPA:「IPA セキュア・プログラミング講座」
https://www.ipa.go.jp/security/awareness/vendor/programming/

(*6) IPA:脆弱性体験学習ツール 「AppGoat」
https://www.ipa.go.jp/security/vuln/appgoat/

(*7) データフィード
https://jvndb.jvn.jp/ja/feed/

(*8) 脆弱性情報の収集や集めた情報の活用方法についての手引きをまとめたレポート「脆弱性対策の効果的な進め方(実践編)」を公開。
https://www.ipa.go.jp/security/technicalwatch/20150331.html

資料のダウンロード

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター 渡邉/土屋
E-mail: