情報セキュリティ

脆弱性対策情報データベースJVN iPediaの登録状況 [2021年第2四半期(4月〜6月)]

最終更新日:2021年7月21日

独立行政法人情報処理推進機構

1. 2021年第2四半期 脆弱性対策情報データベース JVN iPediaの登録状況

脆弱性対策情報データベース「JVN iPedia」は、ソフトウェア製品に関する脆弱性対策情報を2007年4月25日から日本語で公開しています。システム管理者が迅速に脆弱性対策を行えるよう、1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情報ポータルサイトJVN(*1)で公表した脆弱性対策情報、3)米国国立標準技術研究所NIST(*2)の脆弱性データベース「NVD(*3)」が公開した脆弱性対策情報を集約、翻訳しています。

1-1. 脆弱性対策情報の登録状況

~脆弱性対策情報の登録件数の累計は129,824件~

2021年第2四半期(2021年4月1日から6月30日まで)にJVN iPedia日本語版へ登録した脆弱性対策情報は下表の通りとなり、2007年4月25日にJVN iPediaの公開を開始してから本四半期までの脆弱性対策情報の登録件数の累計は、129,824件になりました(表1-1、図1-1)。
また、JVN iPedia英語版へ登録した脆弱性対策情報は下表の通り、累計で2,301件になりました。

表1-1.2021年第2四半期の登録件数

   
情報の収集元
登録件数
累計件数
日本語版
国内製品開発者
3 件
256 件
JVN
150 件
10,151 件
NVD
2,582 件
119,417 件
2,735 件
129,824 件
英語版
国内製品開発者
3 件
251 件
JVN
38 件
2,050 件
41 件
2,301 件
  • 図1-1. JVN iPediaの登録件数の四半期別推移

2. JVN iPediaの登録データ分類

2-1. 脆弱性の種類別件数

図2-1は、2021年第2四半期(4月~6月)にJVN iPediaへ登録した脆弱性対策情報を、共通脆弱性タイプ一覧(CWE)によって分類し、件数を集計したものです。

集計結果は件数が多い順に、CWE-79(クロスサイトスクリプティング)が264件、CWE-20(不適切な入力確認)が134件、CWE-269(不適切な権限管理)が101件、CWE-787(境界外書き込み)が88件、CWE-200(情報漏えい)が87件でした。
最も件数の多かったCWE-79(クロスサイトスクリプティング)は、悪用されると偽のウェブページが表示されたり、情報が漏えいしたりするおそれがあります。


製品開発者は、ソフトウェアの企画・設計段階から、脆弱性の低減に努めることが求められます。IPAではそのための資料やツールとして、開発者が実施すべき脆弱性対処をまとめた資料「脆弱性対処に向けた製品開発者向けガイド(*4)」、開発者や運営者がセキュリティを考慮したウェブサイトを作成するための資料「安全なウェブサイトの作り方 (*5)」や「IPAセキュア・プログラミング講座(*6)」、脆弱性の仕組みを実習形式や演習機能で学ぶことができる脆弱性体験学習ツール「AppGoat(*7)」などを公開しています。

2-2. 脆弱性に関する深刻度別割合

図2-2はJVN iPediaに登録済みの脆弱性対策情報をCVSSv2の値に基づいて深刻度別に分類し、登録年別にその推移を示したものです。

2021年にJVN iPediaに登録した脆弱性対策情報は深刻度別に、レベルIIIが全体の22.0%、レベルIIが62.9%、レベルIが15.1%となっており、情報の漏えいや改ざんされるような危険度が高い脅威であるレベルII以上が84.9%を占めています。

図2-3はJVN iPediaに登録済みの脆弱性対策情報をCVSSv3の値に基づいて深刻度別に分類し、登録年別にその推移を示したものです。

2021年にJVN iPediaに登録した脆弱性対策情報は深刻度別に、「緊急」が全体の12.8%、「重要」が45.2%、「警告」が39.4%、「注意」が2.6%となっています。

既知の脆弱性による脅威を回避するため、製品開発者は常日頃から新たに報告される脆弱性対策情報に注意を払うと共に、脆弱性が解消されている製品へのバージョンアップやアップデートなどを速やかに行ってください。

なお、新たに登録したJVN iPediaの情報を、RSS形式やXML形式(*8) で公開しています。

2-3. 脆弱性対策情報を公開した製品の種類別件数

図2-4はJVN iPediaに登録済みの脆弱性対策情報をソフトウェア製品の種類別に件数を集計し、年次でその推移を示したものです。2021年で最も多い種別は「アプリケーション」に関する脆弱性対策情報で、2021年の件数全件の約68.4%(3,034件/全4,436件)を占めています。

図2-5は重要インフラなどで利用される、産業用制御システムに関する脆弱性対策情報の件数を集計し、年次でその推移を示したものです。これまでに累計で2,959件を登録しています。

2-4. 脆弱性対策情報の製品別登録状況

表2-1は2021年第2四半期(4月~6月)にJVN iPediaへ登録された脆弱性対策情報の中で登録件数が多かった製品上位20件を示したものです。

本四半期において最も登録件数が多かった製品は前四半期に引き続きクアルコム製品で、460件登録されました。これは2020年に公表された複数のクアルコム製品に関する脆弱性情報を多数登録したためです。また、マイクロソフト社のWindows製品などのOS製品が上位20件中14件を占めています。

JVN iPediaは、表に記載されている製品以外にも幅広い脆弱性対策情報を登録公開しています。製品の利用者や開発者は、自組織などで使用しているソフトウェアの脆弱性対策情報を迅速に入手し、効率的な対策に役立ててください(*9)。

表2-1. 製品別JVN iPediaの脆弱性対策情報登録件数 上位20件 [2021年4月~2021年6月]

順位
カテゴリ
製品名(ベンダ名)
登録件数
1
ファームウェア
Qualcomm component (クアルコム)
460
2
OS
Fedora (Fedora Project)
115
3
OS
Debian GNU/Linux (Debian)
102
4
統合業務パッケージ
Oracle E-Business Suite (オラクル)
99
4
OS
Microsoft Windows 10 (マイクロソフト)
99
6
OS
Microsoft Windows Server (マイクロソフト)
96
7
OS
Microsoft Windows Server 2019 (マイクロソフト)
88
8
ミドルウェア
MySQL (オラクル)
77
9
ブラウザ
Google Chrome (Google)
74
10
OS
Microsoft Windows Server 2016 (マイクロソフト)
70
11
OS
Android (Google)
67
12
ネットワーク管理ソフトウェア
HPE Intelligent Management Center
(ヒューレット・パッカード・エンタープライズ)
64
13
OS
Microsoft Windows Server 2012 (マイクロソフト)
63
13
その他
Backports SLE (openSUSE project)
63
15
OS
Microsoft Windows 8.1 (マイクロソフト)
62
16
OS
Microsoft Windows RT 8.1 (マイクロソフト)
61
17
OS
openSUSE Leap (openSUSE project)
60
18
OS
Microsoft Windows 7 (マイクロソフト)
57
19
OS
Microsoft Windows Server 2008 (マイクロソフト)
56
20
OS
Cisco IOS XE (シスコシステムズ)
46

3. 脆弱性対策情報の活用状況

表3-1は2021年第2四半期(4月~6月)にアクセスの多かったJVN iPediaの脆弱性対策情報の上位20件を示したものです。

本四半期の1位は2014年に公開したphpMyAdminに関する脆弱性対策情報でした。なお、これは特定の組織から機械的と思われる多くのアクセスがあったためです。また、上位20件中17件が脆弱性対策情報ポータルサイトJVNで公開された脆弱性対策情報でした。

評価基準

注1) CVSSv2基本値の深刻度による色分け

  • レベルI(注意)
    • CVSS基本値 = 0.0~3.9
  • レベルII(警告)
    • CVSS基本値 = 4.0~6.9
  • レベルIII(危険)
    • CVSS基本値 = 7.0~10.0

注2) CVSSv3基本値の深刻度による色分け

  • 注意
    • CVSS基本値 = 0.1~3.9
  • 警告
    • CVSS基本値 = 4.0~6.9
  • 重要
    • CVSS基本値 = 7.0~8.9
  • 緊急
    • CVSS基本値 = 9.0~10.0

表3-1.JVN iPediaの脆弱性対策情報へのアクセス 上位20件 [2021年4月~2021年6月]

1位 phpMyAdmin におけるクロスサイトスクリプティングの脆弱性 JVNDB-2014-003893

CVSSv2基本値の深刻度

レベルI(注意)

CVSSv2 基本値

3.5

CVSSv3 基本値

-

公開日

2014/8/25

アクセス数

7,948

2位 バッファロー製ルータにおける複数の脆弱性 JVNDB-2021-001381

CVSSv2 基本値

-

CVSSv3基本値の深刻度

警告

CVSSv3 基本値

4.3

公開日

2021/4/28

アクセス数

7,278

3位 スマートフォンアプリ「ぐるなび」におけるアクセス制限不備の脆弱性 JVNDB-2021-000031

CVSSv2 基本値

4.3

CVSSv3基本値の深刻度

注意

CVSSv3 基本値

3.3

公開日

2021/4/14

アクセス数

7,257

4位 バッファロー製の複数のネットワーク機器においてデバッグ機能を有効化される問題 JVNDB-2021-001380

CVSSv2 基本値

-

CVSSv3基本値の深刻度

重要

CVSSv3 基本値

8.8

公開日

2021/4/28

アクセス数

7,155

5位 WordPress 用プラグイン WP Fastest Cache におけるディレクトリトラバーサルの脆弱性 JVNDB-2021-000034

CVSSv2 基本値

5.5

CVSSv3基本値の深刻度

注意

CVSSv3 基本値

3.8

公開日

2021/4/27

アクセス数

6,593

6位 Aterm WF1200CR、Aterm WG1200CR、Aterm WG2600HS および Aterm WX3000HP における複数の脆弱性 JVNDB-2021-000030

CVSSv2基本値の深刻度

レベルIII(危険)

CVSSv2 基本値

8.3

CVSSv3基本値の深刻度

重要

CVSSv3 基本値

8.8

公開日

2021/4/9

アクセス数

6,580

7位 書庫一括操作ユーティリティにおけるディレクトリトラバーサルの脆弱性 JVNDB-2021-000029

CVSSv2基本値の深刻度

レベルII(警告)

CVSSv2 基本値

4.3

CVSSv3基本値の深刻度

注意

CVSSv3 基本値

3.3

公開日

2021/4/1

アクセス数

6,427

8位 複数の Aterm 製品における複数の脆弱性 JVNDB-2021-000028

CVSSv2基本値の深刻度

レベルII(警告)

CVSSv2 基本値

5.8

CVSSv3基本値の深刻度

重要

CVSSv3 基本値

8.8

公開日

2021/4/9

アクセス数

6,323

9位 スマートフォンアプリ「ホットペッパーグルメ」におけるアクセス制限不備の脆弱性 JVNDB-2021-000033

CVSSv2基本値の深刻度

レベルII(警告)

CVSSv2 基本値

4.3

CVSSv3基本値の深刻度

警告

CVSSv3 基本値

4.3

公開日

2021/4/27

アクセス数

6,264

10位 mod_auth_openidc におけるサービス運用妨害 (DoS) の脆弱性 JVNDB-2021-000037

CVSSv2基本値の深刻度

レベルII(警告)

CVSSv2 基本値

5.0

CVSSv3基本値の深刻度

重要

CVSSv3 基本値

7.5

公開日

2021/5/14

アクセス数

5,908

11位 EC-CUBE におけるクロスサイトスクリプティングの脆弱性 JVNDB-2021-000035

CVSSv2基本値の深刻度

レベルII(警告)

CVSSv2 基本値

6.8

CVSSv3基本値の深刻度

重要

CVSSv3 基本値

7.1

公開日

2021/5/10

アクセス数

5,792

12位 トレンドマイクロ株式会社製パスワードマネージャーにおける DLL 読み込みに関する脆弱性 JVNDB-2021-001374

CVSSv2基本値の深刻度

レベルII(警告)

CVSSv2 基本値

4.4

CVSSv3基本値の深刻度

重要

CVSSv3 基本値

7.8

公開日

2021/4/20

アクセス数

5,559

13位 Cosminexus 運用管理機能における情報露出の脆弱性 JVNDB-2021-001345

CVSSv2 基本値

-

CVSSv3 基本値

-

公開日

2021/4/13

アクセス数

5,475

14位 JP1/VERITAS 製品における脆弱性 JVNDB-2021-001344

CVSSv2 基本値

-

CVSSv3 基本値

-

公開日

2021/4/13

アクセス数

5,471

15位 yappa-ng におけるクロスサイトスクリプティングの脆弱性

CVSSv2基本値の深刻度

レベルII(警告)

CVSSv2 基本値

4.3

CVSSv3基本値の深刻度

警告

CVSSv3 基本値

6.1

公開日

2021/4/22

アクセス数

5,261

16位 ScanSnap Manager のインストーラにおける DLL 読み込みに関する脆弱性 JVNDB-2021-000041

CVSSv2基本値の深刻度

レベルII(警告)

CVSSv2 基本値

6.8

CVSSv3基本値の深刻度

重要

CVSSv3 基本値

7.8

公開日

2021/5/21

アクセス数

5,159

17位 D-Link 製 DAP-1880AC における複数の脆弱性 JVNDB-2021-001343

CVSSv2 基本値

-

CVSSv3基本値の深刻度

警告

CVSSv3 基本値

5.0

公開日

2021/4/12

アクセス数

5,060

18位 rNote におけるクロスサイトスクリプティングの脆弱性 JVNDB-2021-000908

CVSSv2基本値の深刻度

レベルII(警告)

CVSSv2 基本値

4.3

CVSSv3基本値の深刻度

警告

CVSSv3 基本値

6.1

公開日

2021/3/25

アクセス数

5,007

19位 富士ゼロックス製複合機およびプリンターにおけるサービス運用妨害 (DoS) の脆弱性 JVNDB-2021-000026

CVSSv2基本値の深刻度

レベルI(注意)

CVSSv2 基本値

3.3

CVSSv3基本値の深刻度

警告

CVSSv3 基本値

4.3

公開日

2021/3/19

アクセス数

4,985

20位 KonaWiki2 における複数の脆弱性 JVNDB-2021-000036

CVSSv2基本値の深刻度

レベルIII(危険)

CVSSv2 基本値

7.5

CVSSv3基本値の深刻度

重要

CVSSv3 基本値

7.3

公開日

2021/5/13

アクセス数

4,971

表3-2は国内の製品開発者から収集した脆弱性対策情報でアクセスの多かった上位5件を示しています。

1位 Cosminexus 運用管理機能における情報露出の脆弱性 JVNDB-2021-001345

CVSSv2 基本値

-

CVSSv3 基本値

-

公開日

2021/4/13

アクセス数

5,475

2位 JP1/VERITAS 製品における脆弱性 JVNDB-2021-001344

CVSSv2 基本値

-

CVSSv3 基本値

-

公開日

2021/4/13

アクセス数

5,471

3位 JP1/Automatic Operation における複数の脆弱性 JVNDB-2021-001026

CVSSv2 基本値

-

CVSSv3 基本値

-

公開日

2021/2/16

アクセス数

4,121

4位 JP1/IT Desktop Management 2 - Manager、 JP1/NETM/Asset Information Managerにおけるアクセス制御不備による脆弱性 JVNDB-2021-001021

CVSSv2 基本値

-

CVSSv3 基本値

-

公開日

2021/2/8

アクセス数

4,087

5位 JP1/Automatic Job Management System 3 および JP1/Automatic Job Management System 2 における DoS 脆弱性 JVNDB-2020-004476

CVSSv2 基本値

-

CVSSv3 基本値

-

公開日

2020/5/18

アクセス数

4,062

脚注

  1. (*1)
  1. (*2)
  1. (*3)
  1. (*4)
  1. (*5)
  1. (*6)
  1. (*7)
  1. (*8)
  1. (*9)

資料のダウンロード

参考情報