情報セキュリティ
公開日:2025年4月16日
最終更新日:2025年4月16日
独立行政法人情報処理推進機構
脆弱性対策情報データベース「JVN iPedia」は、ソフトウェア製品に関する脆弱性対策情報を2007年4月25日から日本語で公開しています。システム管理者が迅速に脆弱性対策を行えるよう、1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情報ポータルサイトJVN(注釈1)で公表した脆弱性対策情報、3)米国国立標準技術研究所NIST(注釈2)の脆弱性データベース「NVD(注釈3)」が公開した脆弱性対策情報を集約、翻訳しています。
脆弱性対策情報の登録件数の累計は232,533件
2025年第1四半期(2025年1月1日から3月31日まで)にJVN iPedia日本語版へ登録した脆弱性対策情報は表1-1の通りとなり、2007年4月25日にJVN iPediaの公開を開始してから本四半期までの、脆弱性対策情報の登録件数の累計は232,533件になりました(表1-1、図1-1)。なお、2025年第1四半期にJVN iPediaの登録件数が増加した理由は、当該期間中にNVDにおける脆弱性情報の公開が増加し、それに伴う公開をしたためです。
また、JVN iPedia英語版へ登録した脆弱性対策情報は表1-2の通り、累計で2,977件になりました。
情報の収集元
|
登録件数
|
累計件数
|
---|---|---|
国内製品開発者
|
1件
|
291件
|
JVN
|
207件
|
16,311件
|
NVD
|
8,636件
|
215,931件
|
計 | 8,844件 | 232,533件 |
情報の収集元
|
登録件数
|
累計件数
|
---|---|---|
国内製品開発者
|
1件
|
294件
|
JVN
|
34件
|
2,683件
|
計
|
35件
|
2,977件
|
図2-1は、2025年第1四半期(1月~3月)にJVN iPediaへ登録した脆弱性対策情報を、共通脆弱性タイプ一覧(CWE)によって分類し、件数を集計したものです。
集計結果は件数が多い順に、CWE-79(クロスサイトスクリプティング)が1,597件、CWE-89(SQLインジェクション)が633件、CWE-476(NULL ポインタデリファレンス)が440件、CWE-416(解放済みメモリの使用)が439件、CWE-862(認証の欠如)が408件でした。最も件数の多かったCWE-79(クロスサイトスクリプティング)は、悪用されると偽のウェブページが表示されたり、情報が漏えいしたりするおそれがあります。
製品開発者は、ソフトウェアの企画・設計段階から、脆弱性の低減に努めることが求められます。IPAではそのための資料やツールとして、開発者が実施すべき脆弱性対処をまとめた資料「脆弱性対処に向けた製品開発者向けガイド(注釈4)」、開発者や運営者がセキュリティを考慮したウェブサイトを作成するための資料「安全なウェブサイトの作り方 (注釈5)」、脆弱性の仕組みを実習形式や演習機能で学ぶことができる脆弱性体験学習ツール「AppGoat(注釈6)」などを公開しています。
図2-2はJVN iPediaに登録済みの脆弱性対策情報をCVSSv2の値に基づいて深刻度別に分類し、登録年別にその推移を示したものです。2025年にJVN iPediaに登録した脆弱性対策情報は深刻度別に、レベル3が全体の24.3%、レベル2が70.2%、レベル1が5.5%となっており、情報の漏えいや改ざんされるような危険度が高い脅威であるレベル2以上が94.5%を占めています。なお、2024年よりJVN iPediaにおけるCVSSv2の登録件数が大幅に減少した理由は、JVN iPediaの情報収集元であるNVDにおいてCVSSv2の評価が積極的には行われていない(注釈7)ためです。
図2-3はJVN iPediaに登録済みの脆弱性対策情報をCVSSv3の値に基づいて深刻度別に分類し、登録年別にその推移を示したものです。2025年にJVN iPediaに登録した脆弱性対策情報は深刻度別に、「緊急」が全体の10.9%、「重要」が35.0%、「警告」が53.1%、「注意」が1.0%となっています。
既知の脆弱性による脅威を回避するため、製品開発者は常日頃から新たに報告される脆弱性対策情報に注意を払うと共に、脆弱性が解消されている製品へのバージョンアップやアップデートなどを速やかに行ってください。
なお、新たに登録したJVN iPediaの情報を、RSS形式やXML形式(注釈8) で公開しています。
図2-4はJVN iPediaに登録済みの脆弱性対策情報をソフトウェア製品の種類別に件数を集計し、年次でその推移を示したものです。2025年で最も多い種別は「アプリケーション」に関する脆弱性対策情報で、2025年の件数全件の約62.9%(5,559件/全8,844件)を占めています。
図2-5は重要インフラなどで利用される、産業用制御システムに関する脆弱性対策情報の件数を集計し、年次でその推移を示したものです。これまでに累計で6,912件を登録しています。
表2-1は2025年第1四半期(1月~3月)にJVN iPediaへ登録された脆弱性対策情報の中で登録件数が多かった製品上位20件を示したものです。
本四半期においてもクアルコム製品が1位となりました。2位以降はLinux Kernelや、マイクロソフト、アップル、Huaweiなどの幅広いベンダのOSがランクインをしました。
JVN iPediaは、表に記載されている製品以外にも幅広い脆弱性対策情報を登録公開しています。製品の利用者や開発者は、自組織などで使用しているソフトウェアの脆弱性対策情報を迅速に入手し、効率的な対策に役立ててください(注釈9)。
順位
|
カテゴリ
|
製品名(ベンダ名)
|
登録件数
|
---|---|---|---|
1
|
ファームウェア
|
Qualcomm component (クアルコム)
|
2,658
|
2
|
OS
|
Linux Kernel (Linux)
|
1,633
|
3
|
OS
|
Microsoft Windows Server 2022 (マイクロソフト)
|
346
|
4
|
OS
|
Microsoft Windows Server 2019 (マイクロソフト)
|
322
|
5
|
OS
|
Microsoft Windows 11 (マイクロソフト)
|
313
|
6
|
OS
|
Microsoft Windows 10 (マイクロソフト)
|
303
|
7
|
OS
|
Microsoft Windows Server 2016 (マイクロソフト)
|
277
|
8
|
OS
|
Microsoft Windows Server 2012 (マイクロソフト)
|
234
|
9
|
OS
|
Microsoft Windows Server 2025 (マイクロソフト)
|
222
|
10
|
OS
|
Microsoft Windows Server 2008 (マイクロソフト)
|
179
|
11
|
OS
|
Debian GNU/Linux (Linux)
|
144
|
12
|
OS
|
macOS (アップル)
|
121
|
13
|
業務用ソフトウェア
|
Complete Web-Based School Management System (campcodes)
|
104
|
14
|
OS
|
HarmonyOS (Huawei)
|
101
|
15
|
OS
|
Android (Google)
|
90
|
16
|
OS
|
EMUI (Huawei)
|
67
|
17
|
OS
|
iPadOS (アップル)
|
66
|
18
|
OS
|
iOS (アップル)
|
65
|
19
|
OS
|
Microsoft SQL Server (マイクロソフト)
|
55
|
20
|
OS
|
Fedora (Fedora Project)
|
49
|
表3-1は2025年第1四半期(1月~3月)にアクセスが多かったJVN iPediaの脆弱性対策情報の上位20件を示したものです。
本四半期は、上位20件中18件が脆弱性対策情報ポータルサイトJVNで公開された脆弱性対策情報でした。
順位
|
ID/タイトル
|
CVSSv2
基本値
|
CVSSv3
基本値
|
公開日
|
アクセス数
|
---|---|---|---|---|---|
1
|
JVNDB-2024-014825 WordPress 用プラグイン My WP Customize Admin/Frontend におけるクロスサイトスクリプティングの脆弱性 |
-
|
4.8
|
2024年
12月16日 |
10,408
|
2
|
VNDB-2024-000121
|
-
|
4.8
|
2024年
11月26日 |
8,209
|
3
|
JVNDB-2022-012258 |
6.8
|
8.8
|
2023年
8月28日 |
8,024
|
4
|
JVNDB-2025-000009
|
-
|
4.3
|
2025年
2月4日 |
7,975
|
5
|
JVNDB-2020-005056 |
4.3
|
6.1
|
2020年
6月5日 |
7,485
|
6
|
JVNDB-2025-000006
|
-
|
4.8
|
2025年
1月28日 |
7,451
|
7
|
JVNDB-2024-015471 |
-
|
-
|
2024年
12月25日 |
7,410
|
8
|
JVNDB-2024-000118 |
-
|
4.8
|
2024年
11月13日 |
7,216
|
9
|
JVNDB-2025-000001 |
-
|
4.8
|
2025年
1月8日 |
6,803
|
10
|
JVNDB-2025-000004 |
-
|
7.5
|
2025年
1月22日 |
6,590
|
11
|
JVNDB-2024-015393 |
-
|
-
|
2024年
12月23日 |
6,497
|
12
|
JVNDB-2024-000128 |
-
|
9.8
|
2024年
12月16日 |
6,347
|
13
|
-
|
9.4
|
2024年
12月17日 |
6,229
|
|
14
|
JVNDB-2024-000127 |
-
|
3.3
|
2024年
12月16日 |
6,134
|
15
|
JVNDB-2023-000085 |
4.3
|
3.6
|
2023年
8月24日 |
5,836
|
16
|
JVNDB-2025-001027 |
-
|
7.0
|
2025年
1月16日 |
5,678
|
17
|
JVNDB-2025-000014 |
-
|
6.1
|
2025年
2月19日 |
5,538
|
18
|
JVNDB-2024-014793 |
-
|
7.5
|
2024年
12月16日 |
5,524
|
19
|
JVNDB-2024-000078 |
-
|
6.8
|
2024年
7月30日 |
5,507
|
20
|
-
|
-
|
2024年
12月6日 |
5,413
|
表3-2は国内の製品開発者から収集した脆弱性対策情報でアクセスの多かった上位5件を示しています。
順位
|
ID/タイトル
|
CVSSv2
基本値
|
CVSSv3
基本値
|
公開日
|
アクセス数
|
---|---|---|---|---|---|
1
|
-
|
9.4
|
2024年
12月17日 |
6,229
|
|
2
|
JVNDB-2025-001244 |
-
|
-
|
2025年
1月30日 |
4,417
|
3
|
JVNDB-2020-018328 |
-
|
-
|
2024年
9月11日 |
3,956
|
4
|
JVNDB-2024-009498 |
-
|
-
|
2024年
10月1日 |
1,377
|
5
|
JVNDB-2009-001930 |
6.4
|
-
|
2009年
8月26日 |
997
|
IPA セキュリティセンター