情報セキュリティ
最終更新日:2022年10月27日
独立行政法人情報処理推進機構
脆弱性対策情報データベースJVN iPediaは、ソフトウェア製品に関する脆弱性対策情報を2007年4月25日から日本語で公開しています。システム管理者が迅速に脆弱性対策を行えるよう、1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情報ポータルサイトJVN(注釈1)で公表した脆弱性対策情報、3)米国国立標準技術研究所NIST(注釈2)の脆弱性データベースNVD(注釈3)が公開した脆弱性対策情報を集約、翻訳しています。
脆弱性対策情報の登録件数の累計は148,266件
2022年第3四半期(2022年7月1日から9月30日まで)にJVN iPedia日本語版へ登録した脆弱性対策情報は下表の通りとなり、2007年4月25日にJVN iPediaの公開を開始してから本四半期までの、脆弱性対策情報の登録件数の累計は148,266件になりました(表1-1、図1-1)。
また、JVN iPedia英語版へ登録した脆弱性対策情報は下表の通り、累計で2,483件になりました。
|
情報の収集元
|
登録件数
|
累計件数
|
---|---|---|---|
日本語版
|
国内製品開発者
|
2件
|
266件
|
JVN
|
305件
|
11,654件
|
|
NVD
|
4,152件
|
136,346件
|
|
計
|
4,459件
|
148,266件
|
|
英語版
|
国内製品開発者
|
2件
|
261件
|
JVN
|
34件
|
2,222件
|
|
計
|
36件
|
2,483件
|
図2-1は、2022年第3四半期(7月~9月)にJVN iPediaへ登録した脆弱性対策情報を、共通脆弱性タイプ一覧(CWE)によって分類し、件数を集計したものです。
集計結果は件数が多い順に、CWE-79(クロスサイトスクリプティング)が678件、CWE-787(境界外書き込み)が336件、CWE-125(境界外読み取り)が192件、CWE-89(SQLインジェクション)が169件、CWE-22(パス・トラバーサル)が120件でした。最も件数の多かったCWE-79(クロスサイトスクリプティング)は、悪用されると偽のウェブページが表示されたり、情報が漏えいしたりするおそれがあります。
製品開発者は、ソフトウェアの企画・設計段階から、脆弱性の低減に努めることが求められます。IPAではそのための資料やツールとして、開発者が実施すべき脆弱性対処をまとめた資料「脆弱性対処に向けた製品開発者向けガイド(注釈4)」、開発者や運営者がセキュリティを考慮したウェブサイトを作成するための資料「安全なウェブサイトの作り方 (注釈5)」や「IPAセキュア・プログラミング講座(注釈6)」、脆弱性の仕組みを実習形式や演習機能で学ぶことができる脆弱性体験学習ツール「AppGoat(注釈7)」などを公開しています。
図2-2はJVN iPediaに登録済みの脆弱性対策情報をCVSSv2の値に基づいて深刻度別に分類し、登録年別にその推移を示したものです。
2022年にJVN iPediaに登録した脆弱性対策情報は深刻度別に、レベル3が全体の19.1%、レベル2が64.7%、レベル1が16.2%となっており、情報の漏えいや改ざんされるような危険度が高い脅威であるレベル2以上が83.8%を占めています。
図2-3はJVN iPediaに登録済みの脆弱性対策情報をCVSSv3の値に基づいて深刻度別に分類し、登録年別にその推移を示したものです。
2022年にJVN iPediaに登録した脆弱性対策情報は深刻度別に、緊急が全体の11.5%、重要が42.4%、警告が43.6%、注意が2.4%となっています。
既知の脆弱性による脅威を回避するため、製品開発者は常日頃から新たに報告される脆弱性対策情報に注意を払うと共に、脆弱性が解消されている製品へのバージョンアップやアップデートなどを速やかに行ってください。
なお、新たに登録したJVN iPediaの情報を、RSS形式やXML形式(注釈8) で公開しています。
図2-4はJVN iPediaに登録済みの脆弱性対策情報をソフトウェア製品の種類別に件数を集計し、年次でその推移を示したものです。2022年で最も多い種別はアプリケーションに関する脆弱性対策情報で、2022年の件数全件の約73.8%(7,793件/全10,564件)を占めています。
図2-5は重要インフラなどで利用される、産業用制御システムに関する脆弱性対策情報の件数を集計し、年次でその推移を示したものです。これまでに累計で3,747件を登録しています。
表2-1は2022年第3四半期(7月~9月)にJVN iPediaへ登録された脆弱性対策情報の中で登録件数が多かった製品上位20件を示したものです。
本四半期において最も登録件数が多かった製品は前四半期に引き続きクアルコム製品で、680件登録されました。これは2021年に公表された複数のクアルコム製品に関する脆弱性情報を多数登録したためです。また、2位から20位まではアップル社、マイクロソフト社などのOSが占めました。
JVN iPediaは、表に記載されている製品以外にも幅広い脆弱性対策情報を登録公開しています。製品の利用者や開発者は、自組織などで使用しているソフトウェアの脆弱性対策情報を迅速に入手し、効率的な対策に役立ててください(注釈9)。
順位
|
カテゴリ
|
製品名(ベンダ名)
|
登録件数
|
---|---|---|---|
1
|
ファームウェア
|
Qualcomm component (クアルコム)
|
680
|
2
|
OS
|
macOS (アップル)
|
276
|
3
|
OS
|
iOS (アップル)
|
248
|
4
|
OS
|
Apple Mac OS X (アップル)
|
228
|
5
|
OS
|
iPadOS (アップル)
|
224
|
6
|
OS
|
Fedora (Fedora Project)
|
200
|
7
|
OS
|
Debian GNU/Linux (Debian)
|
188
|
8
|
OS
|
watchOS (アップル)
|
170
|
9
|
OS
|
tvOS (アップル)
|
166
|
10
|
OS
|
Microsoft Windows Server 2022 (マイクロソフト)
|
128
|
11
|
OS
|
Microsoft Windows Server 2019 (マイクロソフト)
|
125
|
12
|
OS
|
Android (Google)
|
121
|
13
|
OS
|
Microsoft Windows 10 (マイクロソフト)
|
120
|
14
|
OS
|
Microsoft Windows Server 2016 (マイクロソフト)
|
118
|
15
|
OS
|
Microsoft Windows 11 (マイクロソフト)
|
116
|
16
|
OS
|
Microsoft Windows Server 2012 (マイクロソフト)
|
95
|
17
|
OS
|
Microsoft Windows Server 2008 (マイクロソフト)
|
89
|
18
|
OS
|
Microsoft Windows 8.1 (マイクロソフト)
|
88
|
19
|
OS
|
Microsoft Windows RT 8.1 (マイクロソフト)
|
85
|
20
|
OS
|
Microsoft Windows Server (マイクロソフト)
|
84
|
表3-1は2022年第3四半期(7月~9月)にアクセスの多かったJVN iPediaの脆弱性対策情報の上位20件を示したものです。
本四半期は、ランクインしたすべての脆弱性対策情報が今年度に公開されたものでした。また、20件中13件がMicrosoft 製品に関連した脆弱性でした。
評価基準
注1) CVSSv2基本値の深刻度による色分け
注2) CVSSv3基本値の深刻度による色分け
表3-2は国内の製品開発者から収集した脆弱性対策情報でアクセスの多かった上位5件を示しています。
IPA セキュリティセンター 大友/亀山