1. 2019年第2四半期 脆弱性対策情報データベース JVN iPediaの登録状況
脆弱性対策情報データベース「JVN iPedia( https://jvndb.jvn.jp/ )」は、ソフトウェア製品に関する脆弱性対策情報を2007年4月25日から日本語で公開しています。システム管理者が迅速に脆弱性対策を行えるよう、1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情報ポータルサイトJVN(*1)で公表した脆弱性対策情報、3)米国国立標準技術研究所NIST(*2)の脆弱性データベース「NVD(*3)」が公開した脆弱性対策情報を集約、翻訳しています。
1-1. 脆弱性対策情報の登録状況
~脆弱性対策情報の登録件数の累計は102,651件~
2019年第2四半期(2019年4月1日から6月30日まで)にJVN iPedia日本語版へ登録した脆弱性対策情報は下表の通りとなり、2007年4月25日にJVN iPediaの公開を開始してから本四半期までの脆弱性対策情報の登録件数の累計は、102,651件になりました(表1-1、図1-1)。
また、JVN iPedia英語版へ登録した脆弱性対策情報は下表の通り、累計で2,048件になりました。
情報の収集元 | 登録件数 | 累計件数 | |
---|---|---|---|
日本語版 | 国内製品開発者 | 5 件 | 218 件 |
JVN | 325 件 | 8,672 件 | |
NVD | 4,877 件 | 93,761 件 | |
計 | 5,207 件 | 102,651 件 | |
英語版 | 国内製品開発者 | 4 件 | 217 件 |
JVN | 25 件 | 1,831 件 | |
計 | 29 件 | 2,048 件 |
2. JVN iPediaの登録データ分類
2-1. 脆弱性の種類別件数
図2-1は、2019年第2四半期(4月~6月)にJVN iPediaへ登録した脆弱性対策情報を、共通脆弱性タイプ一覧(CWE)によって分類し、件数を集計したものです。
集計結果は件数が多い順に、CWE-119(バッファエラー)が579件、CWE-79(クロスサイトスクリプティング)が561件、CWE-20(不適切な入力確認)が518件、CWE-200(情報漏えい)が378件、CWE-264(認可・権限・アクセス制御)が306件でした。
最も件数の多かったCWE-119(バッファエラー)は、悪用されるとサーバやPC上で悪意のあるコードが実行され、データを盗み見られたり、改ざんされたりなどの被害が発生するおそれがあります。
製品開発者は、ソフトウェアの企画・設計段階から、脆弱性の低減に努めることが求められます。IPAではそのための資料やツールとして、開発者や運営者がセキュリティを考慮したウェブサイトを作成するための資料「安全なウェブサイトの作り方 (*4)」や、「IPAセキュア・プログラミング講座(*5)」、脆弱性の仕組みを実習形式や演習機能で学ぶことができる脆弱性体験学習ツール「AppGoat(*6)」などを公開しています。
2-2. 脆弱性に関する深刻度別割合
図2-2はJVN iPediaに登録済みの脆弱性対策情報をCVSSv2の値に基づいて深刻度別に分類し、登録年別にその推移を示したものです。
2019年にJVN iPediaに登録した脆弱性対策情報は深刻度別に、レベルIIIが全体の27.4%、レベルIIが61.9%、レベルIが10.7%となっており、情報の漏えいや改ざんされるような危険度が高い脅威であるレベルII以上が89.3%を占めています。
図2-3はJVN iPediaに登録済みの脆弱性対策情報をCVSSv3の値に基づいて深刻度別に分類し、登録年別にその推移を示したものです。
2019年にJVN iPediaに登録した脆弱性対策情報は深刻度別に、「緊急」が全体の16.0%、「重要」が44.0%、「警告」が39.1%、「注意」が0.9%となっています。
既知の脆弱性による脅威を回避するため、製品開発者は常日頃から新たに報告される脆弱性対策情報に注意を払うと共に、脆弱性が解消されている製品へのバージョンアップやアップデートなどを速やかに行ってください。
なお、新たに登録したJVN iPediaの情報を、RSS形式やXML形式(*7) で公開しています。
2-3. 脆弱性対策情報を公開した製品の種類別件数
図2-4はJVN iPediaに登録済みの脆弱性対策情報をソフトウェア製品の種類別に件数を集計し、年次でその推移を示したものです。2019年で最も多い種別は「アプリケーション」に関する脆弱性対策情報で、2019年の件数全件の約74.6%(7,445件/全9,977件)を占めています。
図2-5は重要インフラなどで利用される、産業用制御システムに関する脆弱性対策情報の件数を集計し、年次でその推移を示したものです。これまでに累計で1,969件を登録しています。
2-4. 脆弱性対策情報の製品別登録状況
表2-1は2019年第2四半期(4月~6月)にJVN iPediaへ登録された脆弱性対策情報の中で登録件数が多かった製品の上位20件を示したものです。
本四半期はOS製品に関する脆弱性対策情報を多数登録しており、上位20件中9件がマイクロソフト、4件がアップル、2件がLinux系OSとOS製品が全体の7割以上を占めました。
JVN iPediaは、表に記載されている製品以外にも幅広い脆弱性対策情報を登録公開しています。製品の利用者や開発者は、自組織などで使用しているソフトウェアの脆弱性対策情報を迅速に入手し、効率的な対策に役立ててください(*8)。
順位 | カテゴリ | 製品名(ベンダ名) | 登録件数 |
---|---|---|---|
1 | OS | Microsoft Windows 10 (マイクロソフト) | 178 |
2 | OS | Microsoft Windows Server (マイクロソフト) | 176 |
3 | PDF閲覧 | Adobe Acrobat Reader DC (アドビシステムズ) | 175 |
3 | PDF閲覧・編集 | Adobe Acrobat DC (アドビシステムズ) | 175 |
3 | PDF閲覧・編集 | Adobe Acrobat (アドビシステムズ) | 175 |
6 | OS | Microsoft Windows Server 2019 (マイクロソフト) | 167 |
7 | OS | iOS (アップル) | 157 |
8 | OS | Microsoft Windows Server 2016 (マイクロソフト) | 152 |
9 | OS | Microsoft Windows Server 2008 (マイクロソフト) | 141 |
10 | OS | Microsoft Windows 7 (マイクロソフト) | 140 |
11 | OS | Microsoft Windows Server 2012 (マイクロソフト) | 136 |
12 | OS | Microsoft Windows 8.1 (マイクロソフト) | 133 |
13 | OS | Microsoft Windows RT 8.1 (マイクロソフト) | 130 |
14 | OS | tvOS (アップル) | 110 |
15 | OS | Apple Mac OS X (アップル) | 108 |
16 | ネットワーク管理 ソフトウェア |
HPE Intelligent Management Center (ヒューレット・パッカード・エンタープライズ) |
104 |
17 | OS | Debian GNU/Linux (Debian) | 100 |
18 | OS | watchOS (アップル) | 95 |
19 | ファームウェア | Qualcomm compornent (クアルコム)(*9) | 91 |
20 | OS | Ubuntu (Canonical) | 86 |
3. 脆弱性対策情報の活用状況
表3-1は2019年第2四半期(4月~6月)にアクセスの多かったJVN iPediaの脆弱性対策情報の上位20件を示したものです。
本四半期で上位にランクインした脆弱性対策情報の内、2件(3位、19位)が国内製品開発者から収集した脆弱性対策情報で、それら2件と4位を除いた17件が脆弱性対策情報ポータルサイトJVNで公開した脆弱性対策情報です。JVNに登録される製品は国内での利用者が多く、注目を集めるため、該当するページへのアクセス数が増加する傾向にあります。
順位 | ID | タイトル | CVSSv2 基本値 |
CVSSv3 基本値 |
公開日 | アクセス数 |
---|---|---|---|---|---|---|
1 | JVNDB-2019-000022 | GNU Wget におけるバッファオーバーフローの脆弱性 | 6.8 | 8.8 | 2019/4/3 | 10,020 |
2 | JVNDB-2019-000021 | Android アプリ「JR東日本 列車運行情報 プッシュ通知アプリ」が使用する API サーバにアクセス制限不備の脆弱性 | 6.4 | 6.5 | 2019/4/1 | 8,754 |
3 | JVNDB-2019-002892 | Cosminexus における複数の脆弱性 | なし | なし | 2019/4/25 | 8,750 |
4 | JVNDB-2014-007972 | OpenKM におけるクロスサイトスクリプティングの脆弱性 | 3.5 | なし | 2015/3/13 | 7,915 |
5 | JVNDB-2019-000014 | Microsoft Teams のインストーラにおける DLL 読み込みに関する脆弱性 | 6.8 | 7.8 | 2019/2/28 | 7,419 |
6 | JVNDB-2019-000020 | PowerActPro Master Agent Windows版におけるアクセス制限不備の脆弱性 | 1.7 | 3.3 | 2019/3/27 | 7,320 |
7 | JVNDB-2019-000023 | サイボウズ Garoon における複数の脆弱性 | 6.5 | 6.0 | 2019/4/25 | 7,292 |
8 | JVNDB-2019-000018 | iOS アプリ「an」におけるディレクトリトラバーサルの脆弱性 | 4.3 | 4.7 | 2019/3/19 | 7,157 |
9 | JVNDB-2019-000019 | 簡易CMS紀永における複数のクロスサイトスクリプティングの脆弱性 | 4.3 | 6.1 | 2019/3/15 | 6,774 |
10 | JVNDB-2019-000015 | iOS アプリ「iChain保険ウォレット」におけるディレクトリトラバーサルの脆弱性 | 4.3 | 4.7 | 2019/3/12 | 6,622 |
11 | JVNDB-2018-000099 | サイボウズ Garoon におけるディレクトリトラバーサルの脆弱性 | 5.5 | 6.4 | 2018/9/10 | 6,238 |
12 | JVNDB-2018-000130 | サイボウズ Garoon におけるアクセス制限回避の脆弱性 | 5.0 | 7.5 | 2018/12/10 | 6,081 |
13 | JVNDB-2019-000017 | Dradis Community Edition および Dradis Professional Edition におけるクロスサイトスクリプティングの脆弱性 | 4.0 | 5.4 | 2019/3/5 | 6,072 |
14 | JVNDB-2019-000012 | ナブラークにおける複数の脆弱性 | 8.5 | 8.2 | 2019/2/27 | 6,067 |
15 | JVNDB-2019-000013 | Windows 7 における DLL 読み込みに関する脆弱性 | 6.8 | 7.8 | 2019/2/28 | 6,024 |
16 | JVNDB-2019-000016 | WordPress 用プラグイン Smart Forms におけるクロスサイトリクエストフォージェリの脆弱性 | 2.6 | 4.3 | 2019/2/28 | 5,933 |
17 | JVNDB-2019-000011 | WordPress 用プラグイン FormCraft におけるクロスサイトリクエストフォージェリの脆弱性 | 2.6 | 4.3 | 2019/2/26 | 5,840 |
18 | JVNDB-2019-000010 | azure-umqtt-c におけるサービス運用妨害 (DoS) の脆弱性 | 5.0 | 7.5 | 2019/2/20 | 5,724 |
19 | JVNDB-2019-001285 | JP1/Base における DoS 脆弱性 | なし | なし | 2019/2/25 | 5,709 |
20 | JVNDB-2019-000009 | Creative Cloud Desktop Application のインストーラにおける DLL 読み込みに関する脆弱性 | 6.8 | 7.8 | 2019/2/18 | 5,665 |
表3-2は国内の製品開発者から収集した脆弱性対策情報でアクセスの多かった上位5件を示しています。
順位 | ID | タイトル | CVSSv2 基本値 |
CVSSv3 基本値 |
公開日 | アクセス数 |
---|---|---|---|---|---|---|
1 | JVNDB-2019-002892 | Cosminexus における複数の脆弱性 | なし | なし | 2019/4/25 | 8,750 |
2 | JVNDB-2019-001285 | JP1/Base における DoS 脆弱性 | なし | なし | 2019/2/25 | 5,709 |
3 | JVNDB-2019-001094 | Hitachi Command Suite 製品および Hitachi Infrastructure Analytics Advisor における情報露出の脆弱性 | 5.0 | 5.3 | 2019/1/22 | 5,376 |
4 | JVNDB-2018-010027 | JP1/Operations Analytics におけるディレクトリパーミッションの問題 | 3.5 | 4.9 | 2018/12/4 | 5,255 |
5 | JVNDB-2018-010851 | Hitachi Automation Director におけるクリックジャッキングの脆弱性 | 4.3 | 4.3 | 2018/12/26 | 5,101 |
注1) CVSSv2基本値の深刻度による色分け
CVSS基本値 = 0.0~3.9 深刻度=レベルI(注意) |
CVSS基本値 = 4.0~6.9 深刻度=レベルII(警告) |
CVSS基本値 = 7.0~10.0 深刻度=レベルIII(危険) |
注2) CVSSv3基本値の深刻度による色分け
CVSS基本値 = 0.1~3.9 深刻度=注意 |
CVSS基本値 = 4.0~6.9 深刻度=警告 |
CVSS基本値 = 7.0~8.9 深刻度=重要 |
CVSS基本値 = 9.0~10.0 深刻度=緊急 |
注3) 公開日の年による色分け
2017年以前の公開 | 2018年の公開 | 2019年の公開 |
脚注
(*1) Japan Vulnerability Notes:脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
https://jvn.jp/
(*2) National Institute of Standards and Technology:米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
https://www.nist.gov/
(*3) National Vulnerability Database:NISTが運営する脆弱性データベース。
https://nvd.nist.gov
(*4) IPA:「安全なウェブサイトの作り方」
https://www.ipa.go.jp/security/vuln/websecurity.html
(*5) IPA:「IPA セキュア・プログラミング講座」
https://www.ipa.go.jp/security/awareness/vendor/programming/
(*6) IPA:脆弱性体験学習ツール 「AppGoat」
https://www.ipa.go.jp/security/vuln/appgoat/
(*7) データフィード
https://jvndb.jvn.jp/ja/feed/
(*8) 脆弱性情報の収集や集めた情報の活用方法についての手引きをまとめたレポート「脆弱性対策の効果的な進め方(実践編)」を公開。
https://www.ipa.go.jp/security/technicalwatch/20150331.html
資料のダウンロード
- 脆弱性対策情報データベースJVN iPediaに関する活動報告レポート(PDFファイル 359KB)
参考情報
本件に関するお問い合わせ先
IPA セキュリティセンター 渡邉/大友
E-mail: