情報セキュリティ
公開日:2023年4月19日
最終更新日:2023年4月19日
独立行政法人情報処理推進機構
脆弱性対策情報データベース「JVN iPedia」は、ソフトウェア製品に関する脆弱性対策情報を2007年4月25日から日本語で公開しています。システム管理者が迅速に脆弱性対策を行えるよう、1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情報ポータルサイトJVN(注釈1)で公表した脆弱性対策情報、3)米国国立標準技術研究所NIST(注釈2)の脆弱性データベース「NVD(注釈3)」が公開した脆弱性対策情報を集約、翻訳しています。
脆弱性対策情報の登録件数の累計は154,942件
2023年第1四半期(2023年1月1日から3月31日まで)にJVN iPedia日本語版へ登録した脆弱性対策情報は表1-1の通りとなり、2007年4月25日にJVN iPediaの公開を開始してから本四半期までの、脆弱性対策情報の登録件数の累計は154,942件になりました(表1-1、図1-1)。
また、JVN iPedia英語版へ登録した脆弱性対策情報は表1-1の通り、累計で2,572件になりました。
|
情報の収集元
|
登録件数
|
累計件数
|
---|---|---|---|
日本語版
|
国内製品開発者
|
2件
|
263件
|
JVN
|
180件
|
12,149件
|
|
NVD
|
2,804件
|
142,530件
|
|
計
|
2,986件
|
154,942件
|
|
英語版
|
国内製品開発者
|
2件
|
266件
|
JVN
|
43件
|
2,306件
|
|
計
|
45件
|
2,572件
|
図2-1は、2023年第1四半期(1 月~3 月)にJVN iPediaへ登録した脆弱性対策情報を、共通脆弱性タイプ一覧(CWE)によって分類し、件数を集計したものです。
集計結果は件数が多い順に、CWE-79(クロスサイトスクリプティング)が343件、CWE-787(境界外書き込み)が262件、CWE-89(SQLインジェクション)が140件、CWE-416(解放済みメモリの使用)が94件、CWE-125(境界外読み取り)が83件でした。最も件数の多かったCWE-79(クロスサイトスクリプティング)は、悪用されると
偽のウェブページが表示されたり、情報が漏えいしたりするおそれがあります。
製品開発者は、ソフトウェアの企画・設計段階から、脆弱性の低減に努めることが求められます。IPAではそのための資料やツールとして、開発者が実施すべき脆弱性対処をまとめた資料「脆弱性対処に向けた製品開発者向けガイド(注釈4)」、開発者や運営者がセキュリティを考慮したウェブサイトを作成するための資料「安全なウェブサイトの作り方 (注釈5)」、脆弱性の仕組みを実習形式や演習機能で学ぶことができる脆弱性体験学習ツール「AppGoat(注釈6)」などを公開しています。
図2-2はJVN iPediaに登録済みの脆弱性対策情報をCVSSv2の値に基づいて深刻度別に分類し、登録年別にその推移を示したものです。2023年にJVN iPediaに登録した脆弱性対策情報は深刻度別に、レベル3が全体の20.6%、レベル2が65.9%、レベル1が13.6%となっており、情報の漏えいや改ざんされるような危険度が高い脅威であるレベル2以上が86.5%を占めています。
図2-3はJVN iPediaに登録済みの脆弱性対策情報をCVSSv3の値に基づいて深刻度別に分類し、登録年別にその推移を示したものです。2023年にJVN iPediaに登録した脆弱性対策情報は深刻度別に、「緊急」が全体の15.5%、「重要」が42.1%、「警告」が40.4%、「注意」が1.9%となっています。
既知の脆弱性による脅威を回避するため、製品開発者は常日頃から新たに報告される脆弱性対策情報に注意を払うと共に、脆弱性が解消されている製品へのバージョンアップやアップデートなどを速やかに行ってください。
なお、新たに登録したJVN iPediaの情報を、RSS形式やXML形式(注釈7) で公開しています。
図2-4はJVN iPediaに登録済みの脆弱性対策情報をソフトウェア製品の種類別に件数を集計し、年次でその推移を示したものです。2023年で最も多い種別は「アプリケーション」に関する脆弱性対策情報で、2023年の件数全件の72.2%(2,156件/全2,986件)を占めています。
図2-5は重要インフラなどで利用される、産業用制御システムに関する脆弱性対策情報の件数を集計し、年次でその推移を示したものです。これまでに累計で3,929件を登録しています。
表2-1は2023年第1四半期(1月~3月)にJVN iPediaへ登録された脆弱性対策情報の中で登録件数が多かった製品上位20件を示したものです。
本四半期においてはクアルコムが提供するQualcomm componentが1位となりました。2位以降はMozilla Foundationが提供するブラウザやメールソフト、マイクロソフト社が提供するWindows OSが上位にランクインしています。
JVN iPediaは、表に記載されている製品以外にも幅広い脆弱性対策情報を登録公開しています。製品の利用者や開発者は、自組織などで使用しているソフトウェアの脆弱性対策情報を迅速に入手し、効率的な対策に役立ててください(注釈8)。
順位
|
カテゴリ
|
製品名(ベンダ名)
|
登録件数
|
---|---|---|---|
1
|
ファームウェア
|
Qualcomm component (クアルコム)
|
382
|
2
|
ブラウザ
|
Mozilla Firefox (Mozilla Foundation)
|
154
|
3
|
OS
|
Microsoft Windows 10 (マイクロソフト)
|
151
|
4
|
OS
|
Microsoft Windows 11 (マイクロソフト)
|
150
|
5
|
OS
|
Microsoft Windows Server 2022 (マイクロソフト)
|
147
|
6
|
OS
|
Microsoft Windows Server 2019 (マイクロソフト)
|
141
|
7
|
OS
|
Microsoft Windows Server 2016 (マイクロソフト)
|
133
|
8
|
OS
|
Microsoft Windows Server 2012 (マイクロソフト)
|
126
|
9
|
メールソフト
|
Mozilla Thunderbird (Mozilla Foundation)
|
116
|
10
|
ブラウザ
|
Mozilla Firefox ESR (Mozilla Foundation)
|
103
|
11
|
OS
|
Debian GNU/Linux (Debian)
|
100
|
12
|
OS
|
Microsoft Windows Server 2008 (マイクロソフト)
|
95
|
13
|
OS
|
Fedora (Fedora Project)
|
83
|
14
|
その他
|
MicroStation (Bentley Systems)
|
76
|
14
|
その他
|
Bentley View (Bentley Systems)
|
76
|
16
|
OS
|
HarmonyOS (Huawei)
|
67
|
17
|
OS
|
Android (Google)
|
61
|
18
|
OS
|
Microsoft Windows RT 8.1 (マイクロソフト)
|
49
|
18
|
OS
|
Microsoft Windows 8.1 (マイクロソフト)
|
49
|
20
|
その他
|
GPAC (GPAC)
|
46
|
表3-1は2023年第1四半期(1月~3月)にアクセスの多かったJVN iPediaの脆弱性対策情報の上位20件を示したものです。
本四半期は、前四半期に続いてWordPressやWordPress用のプラグインの脆弱性が多くランクインしました。
順位
|
ID/タイトル
|
CVSSv2
基本値
|
CVSSv3
基本値
|
公開日
|
アクセス数
|
---|---|---|---|---|---|
1
|
JVNDB-2023-000007
|
5.0
|
7.5
|
2023年
1月17日 |
6,778
|
2
|
JVNDB-2022-000087
|
5.0
|
5.3
|
2022年
11月8日 |
5,547
|
3
|
JVNDB-2022-000091
|
5.0
|
5.3
|
2022年
11月18日 |
5,354
|
4
|
JVNDB-2022-000023
|
4.0
|
6.5
|
2022年
3月30日 |
5,037
|
5
|
JVNDB-2022-000085
|
2.6
|
6.1
|
2022年
11月8日 |
4,995
|
6
|
JVNDB-2022-000057
|
2.6
|
6.1
|
2022年
7月25日 |
4,975
|
7
|
JVNDB-2022-000038
|
2.6
|
6.1
|
2022年
5月24日 |
4,943
|
8
|
JVNDB-2022-000041
|
4.0
|
5.4
|
2022年
6月1日 |
4,924
|
9
|
JVNDB-2022-000026
|
2.6
|
4.3
|
2022年
4月15日 |
4,919
|
10
|
JVNDB-2022-000002
|
4.0
|
5.4
|
2022年
1月12日 |
4,916
|
11
|
JVNDB-2023-000001
|
6.0
|
5.5
|
2023年
1月5日 |
4,839
|
12
|
JVNDB-2023-000002
|
4.3
|
5.3
|
2023年
1月6日 |
4,610
|
13
|
JVNDB-2023-000011
|
4.9
|
6.2
|
2023年
1月31日 |
4,594
|
14
|
JVNDB-2021-000109
|
4.0
|
4.3
|
2021年
12月2日 |
4,384
|
15
|
JVNDB-2023-000013
|
4.0
|
6.5
|
2023年
2月6日 |
4,362
|
16
|
JVNDB-2023-000005
|
10.0
|
9.8
|
2023年
1月11日 |
4,327
|
17
|
JVNDB-2023-000004
|
4.3
|
4.7
|
2023年
1月11日 |
4,265
|
18
|
JVNDB-2023-001220
|
-
|
-
|
2023年
2月22日 |
4,227
|
19
|
JVNDB-2021-000104
|
2.6
|
4.3
|
2021年
11月25日 |
4,208
|
20
|
JVNDB-2021-000103
|
2.6
|
4.3
|
2021年
11月16日 |
4,189
|
表3-2は国内の製品開発者から収集した脆弱性対策情報でアクセスの多かった上位5件を示しています。
順位
|
ID/タイトル
|
CVSSv2
基本値
|
CVSSv3
基本値
|
公開日
|
アクセス数
|
---|---|---|---|---|---|
1
|
JVNDB-2023-001008
|
-
|
6.6
|
2023年
1月18日 |
3,547
|
2
|
JVNDB-2022-002771
|
-
|
3.3
|
2022年
12月7日 |
2,688
|
3
|
JVNDB-2022-002443
|
-
|
5.4
|
2022年
10月5日 |
2,490
|
4
|
JVNDB-2022-002364
|
-
|
-
|
2022年
9月14日 |
2,487
|
5
|
JVNDB-2022-002143
|
-
|
-
|
2022年
8月1日 |
2,455
|
IPA セキュリティセンター 大友/亀山