情報セキュリティ

脆弱性対策情報データベースJVN iPediaの登録状況 [2021年第3四半期(7月〜9月)]

最終更新日:2021年10月20日

独立行政法人情報処理推進機構

1. 2021年第3四半期 脆弱性対策情報データベース JVN iPediaの登録状況

脆弱性対策情報データベース「JVN iPedia」は、ソフトウェア製品に関する脆弱性対策情報を2007年4月25日から日本語で公開しています。システム管理者が迅速に脆弱性対策を行えるよう、1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情報ポータルサイトJVN(*1)で公表した脆弱性対策情報、3)米国国立標準技術研究所NIST(*2)の脆弱性データベース「NVD(*3)」が公開した脆弱性対策情報を集約、翻訳しています。

1-1. 脆弱性対策情報の登録状況

~脆弱性対策情報の登録件数の累計は133,026件~

2021年第3四半期(2021年7月1日から9月30日まで)にJVN iPedia日本語版へ登録した脆弱性対策情報は右表の通りとなり、2007年4月25日にJVN iPediaの公開を開始してから本四半期までの脆弱性対策情報の登録件数の累計は133,026件になりました(表1-1、図1-1)。
また、JVN iPedia英語版へ登録した脆弱性対策情報は右表の通り、累計で2,337件になりました。

表1-1.2021年第3四半期の登録件数

  
情報の収集元
登録件数
累計件数
日本語版
国内製品開発者
0 件
256 件
JVN
264 件
10,415 件
NVD
2,938 件
122,355 件
3,202 件
133,026 件
英語版
国内製品開発者
0 件
251 件
JVN
36 件
2,086 件
36 件
2,337 件
  • 図1-1. JVN iPediaの登録件数の四半期別推移

2. JVN iPediaの登録データ分類

2-1. 脆弱性の種類別件数

図2-1は、2021年第3四半期(7月~9月)にJVN iPediaへ登録した脆弱性対策情報を、共通脆弱性タイプ一覧(CWE)によって分類し、件数を集計したものです。

集計結果は件数が多い順に、CWE-79(クロスサイトスクリプティング)が364件、CWE-787(境界外書き込み)が217件、CWE-269(不適切な権限管理)が161件、CWE-416(解放済みメモリの使用)が92件、CWE-125(境界外読み取り)が91件でした。
最も件数の多かったCWE-79(クロスサイトスクリプティング)は、悪用されると偽のウェブページが表示されたり、情報が漏えいしたりするおそれがあります。

製品開発者は、ソフトウェアの企画・設計段階から、脆弱性の低減に努めることが求められます。IPAではそのための資料やツールとして、開発者が実施すべき脆弱性対処をまとめた資料「脆弱性対処に向けた製品開発者向けガイド(*4)」、開発者や運営者がセキュリティを考慮したウェブサイトを作成するための資料「安全なウェブサイトの作り方 (*5)」や「IPAセキュア・プログラミング講座(*6)」、脆弱性の仕組みを実習形式や演習機能で学ぶことができる脆弱性体験学習ツール「AppGoat(*7)」などを公開しています。

2-2. 脆弱性に関する深刻度別割合

図2-2はJVN iPediaに登録済みの脆弱性対策情報をCVSSv2の値に基づいて深刻度別に分類し、登録年別にその推移を示したものです。

2021年にJVN iPediaに登録した脆弱性対策情報は深刻度別に、レベルIIIが全体の22.1%、レベルIIが62.0%、レベルIが15.9%となっており、情報の漏えいや改ざんされるような危険度が高い脅威であるレベルII以上が84.1%を占めています。

図2-3はJVN iPediaに登録済みの脆弱性対策情報をCVSSv3の値に基づいて深刻度別に分類し、登録年別にその推移を示したものです。

2021年にJVN iPediaに登録した脆弱性対策情報は深刻度別に、「緊急」が全体の13.5%、「重要」が43.3%、「警告」が40.5%、「注意」が2.7%となっています。

既知の脆弱性による脅威を回避するため、製品開発者は常日頃から新たに報告される脆弱性対策情報に注意を払うと共に、脆弱性が解消されている製品へのバージョンアップやアップデートなどを速やかに行ってください。

なお、新たに登録したJVN iPediaの情報を、RSS形式やXML形式(*8) で公開しています。

2-3. 脆弱性対策情報を公開した製品の種類別件数

図2-4はJVN iPediaに登録済みの脆弱性対策情報をソフトウェア製品の種類別に件数を集計し、年次でその推移を示したものです。2021年で最も多い種別は「アプリケーション」に関する脆弱性対策情報で、2021年の件数全件の約70.6%(5,395件/全7,638件)を占めています。

図2-5は重要インフラなどで利用される、産業用制御システムに関する脆弱性対策情報の件数を集計し、年次でその推移を示したものです。これまでに累計で3,043件を登録しています。

2-4. 脆弱性対策情報の製品別登録状況

表2-1は2021年第3四半期(7月~9月)にJVN iPediaへ登録された脆弱性対策情報の中で登録件数が多かった製品上位20件を示したものです。

本四半期において最も登録件数が多かった製品はMicrosoft Windows Server 2019で、160件登録されました。その他にもマイクロソフト社のWindows製品が多数登録されており、上位20件中9件と約半数を占めています。

JVN iPediaは、表に記載されている製品以外にも幅広い脆弱性対策情報を登録公開しています。製品の利用者や開発者は、自組織などで使用しているソフトウェアの脆弱性対策情報を迅速に入手し、効率的な対策に役立ててください(*9)。

表2-1. 製品別JVN iPediaの脆弱性対策情報登録件数 上位20件 [2021年7月~2021年9月]

順位
カテゴリ
製品名(ベンダ名)
登録件数
1
OS
Microsoft Windows Server 2019 (マイクロソフト)
160
2
OS
Microsoft Windows 10 (マイクロソフト)
158
3
OS
Microsoft Windows Server (マイクロソフト)
155
4
OS
Microsoft Windows Server 2016 (マイクロソフト)
132
5
OS
Android (Google)
121
6
OS
Debian GNU/Linux (Debian)
114
7
OS
Microsoft Windows Server 2012 (マイクロソフト)
113
8
OS
Microsoft Windows 8.1 (マイクロソフト)
101
8
OS
Microsoft Windows RT 8.1 (マイクロソフト)
101
10
OS
Fedora (Fedora Project)
98
11
OS
Microsoft Windows Server 2008 (マイクロソフト)
93
12
OS
Microsoft Windows 7 (マイクロソフト)
80
13
ファームウェア
RV130 VPN Router ファームウェア (シスコシステムズ)
74
13
ファームウェア
Cisco RV130W Wireless-N Multifunction VPN Router ファームウェア
(シスコシステムズ)
74
15
ファームウェア
Cisco RV110W Wireless-N VPN Firewall ファームウェア
(シスコシステムズ)
73
16
ファームウェア
RV215W Wireless-N VPN Router ファームウェア (シスコシステムズ)
59
17
プラットフォーム
Application Extension Platform (シスコシステムズ)
58
18
OS
Apple Mac OS X (アップル)
55
19
OS
iOS (アップル)
45
20
OS
iPadOS (アップル)
44

3. 脆弱性対策情報の活用状況

表3-1は2021年第3四半期(7月~9月)にアクセスの多かったJVN iPediaの脆弱性対策情報の上位20件を示したものです。

本四半期は1位~4位を2020年7月に公開されたWordPressの脆弱性対策情報が占めました。なお、これは特定の組織から機械的と思われる多くのアクセスがあったためです。また、上位20件中15件が脆弱性対策情報ポータルサイトJVNで公開された脆弱性対策情報でした。

評価基準

注1) CVSSv2基本値の深刻度による色分け

  • レベルI(注意)
    • CVSS基本値 = 0.0~3.9
  • レベルII(警告)
    • CVSS基本値 = 4.0~6.9
  • レベルIII(危険)
    • CVSS基本値 = 7.0~10.0

注2) CVSSv3基本値の深刻度による色分け

  • 注意
    • CVSS基本値 = 0.1~3.9
  • 警告
    • CVSS基本値 = 4.0~6.9
  • 重要
    • CVSS基本値 = 7.0~8.9
  • 緊急
    • CVSS基本値 = 9.0~10.0

表3-1.JVN iPediaの脆弱性対策情報へのアクセス 上位20件 [2021年7月~2021年9月]

1位 WordPress におけるクロスサイトスクリプティングの脆弱性 JVNDB-2020-006830

CVSSv2基本値の深刻度

レベルI(注意)

CVSSv2 基本値

3.5

CVSSv3基本値の深刻度

警告

CVSSv3 基本値

5.4

公開日

2020/7/20

アクセス数

11,396

2位  WordPress におけるクロスサイトスクリプティングの脆弱性 JVNDB-2020-006788

CVSSv2基本値の深刻度

レベルI(注意)

CVSSv2 基本値

3.5

CVSSv3基本値の深刻度

注意

CVSSv3 基本値

2.4

公開日

2020/7/17

アクセス数

11,137

3位 WordPress におけるクロスサイトスクリプティングの脆弱性 JVNDB-2020-006831

CVSSv2基本値の深刻度

レベルI(注意)

CVSSv2 基本値

3.5

CVSSv3基本値の深刻度

レベルI(注意)

CVSSv3 基本値

6.8

公開日

2020/7/20

アクセス数

10,495

4位 WordPress における代替パスまたはチャネルを使用した認証回避に関する脆弱性 JVNDB-2020-006893

CVSSv2基本値の深刻度

レベルII(警告)

CVSSv2 基本値

6.0

CVSSv3基本値の深刻度

注意

CVSSv3 基本値

3.1

公開日

2020/7/22

アクセス数

10,157

5位 phpMyAdmin におけるクロスサイトスクリプティングの脆弱性 JVNDB-2014-003893

CVSSv2基本値の深刻度

レベルI(注意)

CVSSv2 基本値

3.5

CVSSv3 基本値

-

公開日

2014/8/25

アクセス数

7,898

6位 Minecraft Java Edition におけるディレクトリトラバーサルの脆弱性 JVNDB-2021-000072

CVSSv2基本値の深刻度

レベルII(警告)

CVSSv2 基本値

5.0

CVSSv3基本値の深刻度

警告

CVSSv3 基本値

5.3

公開日

2021/7/21

アクセス数

6,604

7位 EC-CUBE におけるアクセス制限不備の脆弱性 JVNDB-2021-000059

CVSSv2基本値の深刻度

レベルII(警告)

CVSSv2 基本値

5.0

CVSSv3基本値の深刻度

重要

CVSSv3 基本値

7.5

公開日

2021/7/1

アクセス数

6,459

8位 Everything における HTTP ヘッダインジェクションの脆弱性 JVNDB-2021-000067

CVSSv2基本値の深刻度

レベルII(警告)

CVSSv2 基本値

5.8

CVSSv3基本値の深刻度

警告

CVSSv3 基本値

6.1

公開日

2021/7/9

アクセス数

6,453

9位 GroupSession における複数の脆弱性 JVNDB-2021-000070

CVSSv2基本値の深刻度

レベルII(警告)

CVSSv2 基本値

4.0

CVSSv3基本値の深刻度

警告

CVSSv3 基本値

5.0

公開日

2021/7/19

アクセス数

6,116

10位 WordPress 用プラグイン WordPress Meta Data Filter & Taxonomies Filter におけるクロスサイトリクエストフォージェリの脆弱性 JVNDB-2021-000065

CVSSv2基本値の深刻度

レベルI(注意)

CVSSv2 基本値

2.6

CVSSv3基本値の深刻度

警告

CVSSv3 基本値

4.3

公開日

2021/7/8

アクセス数

6,068

11位 複数のトレンドマイクロ製企業向けエンドポイントセキュリティ製品における複数の脆弱性 JVNDB-2021-002077

CVSSv2 基本値

-

CVSSv3基本値の深刻度

レベルII(警告)

CVSSv3 基本値

7.8

公開日

2021/7/30

アクセス数

5,992

12位 トレンドマイクロ製 InterScan Web Security シリーズにおけるクロスサイトスクリプティングの脆弱性 JVNDB-2021-002005

CVSSv2基本値の深刻度

レベルI(注意)

CVSSv2 基本値

3.5

CVSSv3基本値の深刻度

警告

CVSSv3 基本値

5.4

公開日

2021/7/19

アクセス数

5,901

13位 スマートフォンアプリ「Retty」における複数の脆弱性 JVNDB-2021-000068

CVSSv2基本値の深刻度

レベルII(警告)

CVSSv2 基本値

5.0

CVSSv3基本値の深刻度

警告

CVSSv3 基本値

4.0

公開日

2021/7/13

アクセス数

5,893

14位 光BBユニット E-WMTA2.3 におけるクロスサイトリクエストフォージェリの脆弱性 JVNDB-2021-000069

CVSSv2基本値の深刻度

レベルII(警告)

CVSSv2 基本値

4.0

CVSSv3基本値の深刻度

警告

CVSSv3 基本値

5.4

公開日

2021/7/14

アクセス数

5,863

15位 boastMachine におけるクロスサイトスクリプティングの脆弱性 JVNDB-2007-002102

CVSSv2基本値の深刻度

レベルII(警告)

CVSSv2 基本値

4.3

CVSSv3基本値の深刻度

警告

CVSSv3 基本値

6.1

公開日

2012/6/26

アクセス数

5,830

16位 サイボウズ Garoon における不適切な入力確認の脆弱性 JVNDB-2020-000071

CVSSv2基本値の深刻度

レベルII(警告)

CVSSv2 基本値

4.0

CVSSv3基本値の深刻度

警告

CVSSv3 基本値

4.3

公開日

2020/11/5

アクセス数

5,685

17位 WordPress 用プラグイン Software License Manager におけるクロスサイトリクエストフォージェリの脆弱性 JVNDB-2021-000066

CVSSv2基本値の深刻度

レベルI(注意)

CVSSv2 基本値

2.6

CVSSv3基本値の深刻度

警告

CVSSv3 基本値

4.3

公開日

2021/7/8

アクセス数

5,655

18位 IKaIKa RSSリーダーにおけるクロスサイトスクリプティングの脆弱性

CVSSv2基本値の深刻度

レベルII(警告)

CVSSv2 基本値

5.8

CVSSv3基本値の深刻度

警告

CVSSv3 基本値

5.4

公開日

2021/6/30

アクセス数

5,607

19位 Android アプリ「ジーユー」におけるアクセス制限不備の脆弱性 JVNDB-2021-000064

CVSSv2基本値の深刻度

レベルII(警告)

CVSSv2 基本値

4.3

CVSSv3基本値の深刻度

警告

CVSSv3 基本値

4.3

公開日

2021/7/7

アクセス数

5,485

20位 エレコム製ルータにおける認証不備および OS コマンドインジェクションの脆弱性 JVNDB-2021-001977

CVSSv2 基本値

-

CVSSv3基本値の深刻度

警告

CVSSv3 基本値

6.3

公開日

2021/7/7

アクセス数

5,463

表3-2は国内の製品開発者から収集した脆弱性対策情報でアクセスの多かった上位5件を示しています。

表3-2.国内の製品開発者から収集した脆弱性対策情報へのアクセス 上位5件[2021年7月~2021年9月]

1位 CCosminexus 運用管理機能における情報露出の脆弱性 JVNDB-2021-001345

CVSSv2 基本値

-

CVSSv3 基本値

-

公開日

2021/4/13

アクセス数

4,123

2位 JP1/IT Desktop Management 2 - Manager、 JP1/NETM/Asset Information Managerにおけるアクセス制御不備による脆弱性  JVNDB-2021-001021

CVSSv2 基本値

-

CVSSv3 基本値

-

公開日

2021/2/8

アクセス数

4,054

3位 JP1/Automatic Job Management System 3 および JP1/Automatic Job Management System 2 における DoS 脆弱性 JVNDB-2020-004476

CVSSv2 基本値

-

CVSSv3 基本値

-

公開日

2020/5/18

アクセス数

4,052

4位 JP1/VERITAS 製品における脆弱性 JVNDB-2021-001344

CVSSv2 基本値

-

CVSSv3 基本値

-

公開日

2021/4/13

アクセス数

4,052

5位 JP1/Automatic Operation における複数の脆弱性 JVNDB-2021-001026

CVSSv2 基本値

-

CVSSv3 基本値

-

公開日

2021/2/16

アクセス数

4,040

脚注

  1. (*1)
  1. (*2)
  1. (*3)
  1. (*4)
  1. (*5)
  1. (*6)
  1. (*7)
  1. (*8)
  1. (*9)

資料のダウンロード

参考情報