情報セキュリティ

  1. トップページ
  2. 情報セキュリティ
  3. 調査・研究報告書
  4. 脆弱性対策情報に関する報告書
  5. 脆弱性対策情報データベースJVN iPediaの登録状況
  6. 脆弱性対策情報データベースJVN iPediaの登録状況 [2025年第2四半期(4月〜6月)]

脆弱性対策情報データベースJVN iPediaの登録状況 [2025年第2四半期(4月〜6月)]

公開日:2025年7月16日

最終更新日:2025年7月16日

独立行政法人情報処理推進機構

1. 2025年第2四半期 脆弱性対策情報データベース JVN iPediaの登録状況

脆弱性対策情報データベース「JVN iPedia」は、ソフトウェア製品に関する脆弱性対策情報を2007年4月25日から日本語で公開しています。システム管理者が迅速に脆弱性対策を行えるよう、1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情報ポータルサイトJVN(注釈1)で公表した脆弱性対策情報、3)米国国立標準技術研究所NIST(注釈2)の脆弱性データベース「NVD(注釈3)」が公開した脆弱性対策情報を集約、翻訳しています。

1-1. 脆弱性対策情報の登録状況

脆弱性対策情報の登録件数の累計は242,898件

2025年第2四半期(2025年4月1日から6月30日まで)にJVN iPedia日本語版へ登録した脆弱性対策情報は表1-1の通りとなり、2007年4月25日にJVN iPediaの公開を開始してから本四半期までの、脆弱性対策情報の登録件数の累計は242,898件になりました(表1-1、図1-1)。なお、2025年第2四半期にJVN iPediaの登録件数が増加した理由は、当該期間中にNVDにおける脆弱性情報の公開が増加し、それに伴う公開をしたためです。

また、JVN iPedia英語版へ登録した脆弱性対策情報は表1-2の通り、累計で3,016件になりました。

表1-1.2025年第2四半期の登録件数(日本語版)
情報の収集元
登録件数
累計件数
国内製品開発者
0件
291件
JVN
136件
16,447件
NVD
10,229件
226,160件
10,365 242,898

表1-2.2025年第2四半期の登録件数(英語版)
情報の収集元
登録件数
累計件数
国内製品開発者
0件
294件
JVN
39件
2,722件
39件
3,016件
  • 図1-1. JVN iPediaの登録件数の四半期別推移

2. JVN iPediaの登録データ分類

2-1. 脆弱性の種類別件数

図2-1は、2025年第2四半期(4月~6月)にJVN iPediaへ登録した脆弱性対策情報を、共通脆弱性タイプ一覧(CWE)によって分類し、件数を集計したものです。

集計結果は件数が多い順に、CWE-79(クロスサイトスクリプティング)が2,044件、CWE-74(インジェクション)が774件、CWE-89(SQLインジェクション)が631件、CWE-352(クロスサイト・リクエスト・フォージェリ)が416件、CWE-119(バッファエラー)が379件でした。最も件数の多かったCWE-79(クロスサイトスクリプティング)は、悪用されると偽のウェブページが表示されたり、情報が漏えいしたりするおそれがあります。

製品開発者は、ソフトウェアの企画・設計段階から、脆弱性の低減に努めることが求められます。IPAではそのための資料やツールとして、開発者が実施すべき脆弱性対処をまとめた資料「脆弱性対処に向けた製品開発者向けガイド(注釈4)」、開発者や運営者がセキュリティを考慮したウェブサイトを作成するための資料「安全なウェブサイトの作り方 (注釈5)」、脆弱性の仕組みを実習形式や演習機能で学ぶことができる脆弱性体験学習ツール「AppGoat(注釈6)」などを公開しています。

  • 図2-1.2025年第2四半期に登録された脆弱性の種類別件数

2-2. 脆弱性に関する深刻度別割合

図2-2はJVN iPediaに登録済みの脆弱性対策情報をCVSSv2の値に基づいて深刻度別に分類し、登録年別にその推移を示したものです。2025年にJVN iPediaに登録した脆弱性対策情報は深刻度別に、レベル3が全体の38.2%、レベル2が54.3%、レベル1が7.5%となっており、情報の漏えいや改ざんされるような危険度が高い脅威であるレベル2以上が92.5%を占めています。なお、2024年よりJVN iPediaにおけるCVSSv2の登録件数が大幅に減少した理由は、JVN iPediaの情報収集元であるNVDにおいてCVSSv2の評価が積極的には行われていない(注釈7)ためです。

  • 図2-2.脆弱性の深刻度別件数(CVSSv2)

図2-3はJVN iPediaに登録済みの脆弱性対策情報をCVSSv3の値に基づいて深刻度別に分類し、登録年別にその推移を示したものです。2025年にJVN iPediaに登録した脆弱性対策情報は深刻度別に、「緊急」が全体の15.5%、「重要」が33.5%、「警告」が49.4%、「注意」が1.6%となっています。

  • 図2-3.脆弱性の深刻度別件数(CVSSv3)

既知の脆弱性による脅威を回避するため、製品開発者は常日頃から新たに報告される脆弱性対策情報に注意を払うと共に、脆弱性が解消されている製品へのバージョンアップやアップデートなどを速やかに行ってください。

なお、新たに登録したJVN iPediaの情報を、RSS形式やXML形式(注釈8) で公開しています。

2-3. 脆弱性対策情報を公開した製品の種類別件数

図2-4はJVN iPediaに登録済みの脆弱性対策情報をソフトウェア製品の種類別に件数を集計し、年次でその推移を示したものです。2025年で最も多い種別は「アプリケーション」に関する脆弱性対策情報で、2025年の件数全件の約69.6%(13,378件/全19,209件)を占めています。

  • 図2-4.脆弱性対策情報を硬化した製品の種類別件数の公開年別推移

図2-5は重要インフラなどで利用される、産業用制御システムに関する脆弱性対策情報の件数を集計し、年次でその推移を示したものです。これまでに累計で7,107件を登録しています。

  • 図2-5.JVN iPedia登録件数(産業用制御システムのみ抽出)

2-4. 脆弱性対策情報の製品別登録状況

表2-1は2025年第2四半期(4月~6月)にJVN iPediaへ登録された脆弱性対策情報の中で登録件数が多かった製品上位20位を示したものです。

本四半期においてもクアルコム製品が1位となりました。2位以降はLinux Kernelや、Android、アップルなどの幅広いベンダのOS、およびAdobe Experience ManagerのCMSがランクインをしました。

JVN iPediaは、表に記載されている製品以外にも幅広い脆弱性対策情報を登録公開しています。製品の利用者や開発者は、自組織などで使用しているソフトウェアの脆弱性対策情報を迅速に入手し、効率的な対策に役立ててください(注釈9)。

表2-1. 製品別JVN iPediaの脆弱性対策情報登録件数 上位20位 [2025年4月~2025年6月]
順位
カテゴリ
製品名(ベンダ名)
登録件数
1
ファームウェア
Qualcomm component (クアルコム)
657
2
OS
Linux Kernel (Linux)
646
3
OS
Android (Google)
225
4
CMS
Adobe Experience Manager (アドビ)
224
5
OS
macOS (アップル)
217
6
ブラウザ
Mozilla Firefox (Mozilla Foundation)
159
7
OS
iPadOS (アップル)
130
8
OS
iOS (アップル)
121
9
メール
Mozilla Thunderbird (Mozilla Foundation)
110
10
PDF閲覧・編集
PDF-XChange Editor (PDF-Xchange) 
101
11
OS
Debian GNU/Linux (Linux)
100
12
PDF閲覧・編集
pdf-tools (PDF-Xchange)
99
13
OS
visionOS (アップル)
76
14
OS
tvOS (アップル)
71
15
ブラウザ
Google Chrome (Google)
67
16
ミドルウェア
MySQL (オラクル)
65
17
業務用ソフトウェア
civil 3d (Autodesk)
60
17
業務用ソフトウェア
Advance Steel (Autodesk)
60
17
業務用ソフトウェア
AutoCAD Map 3D (Autodesk)
60
17
業務用ソフトウェア
AutoCAD MEP (Autodesk)
60
17 業務用ソフトウェア AutoCAD (Autodesk) 60
17 業務用ソフトウェア AutoCAD Plant 3D (Autodesk) 60
17 業務用ソフトウェア AutoCAD Mechanical (Autodesk) 60

3. 脆弱性対策情報の活用状況

表3-1は2025年第2四半期(4月~6月)にアクセスが多かったJVN iPediaの脆弱性対策情報の上位20位を示したものです。

本四半期は、上位20位すべてが脆弱性対策情報ポータルサイトJVNで公開された脆弱性対策情報でした。

表3-1. JVN iPediaの脆弱性対策情報へのアクセス 上位20位 [2025年4月~2025年6月]
順位
ID/タイトル
CVSSv2
基本値
CVSSv3
基本値
公開日
アクセス数
1
- 6.3 2025年
4月1日		 8,279
2
- 4.3 2025年
2月4日		 6,113
3
- 4.8 2025年
1月28日		 5,954
4 JVNDB-2025-000027
Active! mailにおけるスタックベースのバッファオーバーフローの脆弱性		  - 9.8 2025年
4月18日		 5,282
5 JVNDB-2024-000064
WordPress用プラグインSiteGuard WP Pluginにおける変更したログインパスが漏えいする脆弱性		 5.3 2024年
6月19日		 5,247
6 JVNDB-2024-000093
WordPress用プラグインAdvanced Custom Fieldsにおけるクロスサイトスクリプティングの脆弱性		 5.4 2024年
9月4日		 5,223
7 JVNDB-2024-000118
WordPress用プラグインVK All in One Expansion Unitにおけるクロスサイトスクリプティングの脆弱性		  - 4.8 2024年
11月13日		 5,131
8 JVNDB-2024-014825
WordPress 用プラグイン My WP Customize Admin/Frontend におけるクロスサイトスクリプティングの脆弱性		 4.8 2024年
12月16日		 5,096
9 JVNDB-2024-000066
WordPress用プラグインWP Tweet WallsおよびSola Testimonialsにおけるクロスサイトリクエストフォージェリの脆弱性		 4.3 2024年
6月26日		 5,081
10 JVNDB-2024-000058
WordPress用プラグインMusic Store - WordPress eCommerceにおけるSQLインジェクションの脆弱性		  - 4.7 2024年
6年7日		 5,034
11 JVNDB-2024-000097
WordPress用プラグインForminatorにおけるクロスサイトスクリプティングの脆弱性		 6.1 2024年
9月9日		 5,033
12 JVNDB-2024-000038
WordPress用プラグインNinja Formsにおける複数の脆弱性

 5.4 2024年
4月8日		 5,013
13 JVNDB-2024-000100
WordPress用プラグインWelcart e-Commerceにおける複数の脆弱性
 8.8 2024年
9月18日		 4,991
14 JVNDB-2024-000041
WordPress用プラグインForminatorにおける複数の脆弱性

 9.8 2024年
4月18日		 4,980
15 JVNDB-2023-000050
WordPress 用プラグイン MW WP Form および Snow Monkey Forms における複数の脆弱性		 7.5 8.3 2023年
5月15日		 4,974
16 JVNDB-2024-000044
WordPress用プラグインHeateor Social Login WordPressにおけるクロスサイトスクリプティングの脆弱性		 5.4 2024年
5月8日		 4,965
17 JVNDB-2024-000033
WordPress 用プラグイン easy-popup-show におけるクロスサイトリクエストフォージェリの脆弱性		 2.6 4.3 2024年
3月25日		 4,963
18 JVNDB-2023-000084
WordPress 用プラグイン Advanced Custom Fields におけるクロスサイトスクリプティングの脆弱性		 3.5 5.4 2023年
8月21日		 4,955
18 JVNDB-2024-000049
WordPress用プラグインDownload Plugins and Themes from Dashboardにおけるパストラバーサルの脆弱性		 2.7 2024年
5月17日		 4,955
20
JVNDB-2024-000121
4.8 2024年
11月26日		 4,939
 


表3-2は国内の製品開発者から収集した脆弱性対策情報でアクセスの多かった上位5位を示しています。

表3-2. 国内の製品開発者から収集した脆弱性対策情報へのアクセス 上位5位 [2025年4月~2025年6月]
順位
ID/タイトル
CVSSv2
基本値
CVSSv3
基本値
公開日
アクセス数
1
-
-
2025年
1月30日
1,867
2
-
9.4
2024年
12月17日
1,139
3 JVNDB-2020-018328
Web Rehosting サービスにおいて複数ウェブサイトに跨ったコンテンツの改ざん・盗聴等が行われる問題		 - - 2024年
9月11日		 1,084
4
-
-
2024年
10月1日
819
5
-
7.8
2024年
8月27日
714
 

注釈

  1. 注釈1
    Japan Vulnerability Notes:脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
  2. 注釈2
    National Institute of Standards and Technology:米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
  3. 注釈3
    National Vulnerability Database:NISTが運営する脆弱性データベース。
  4. 注釈4
    IPA:「脆弱性対処に向けた製品開発者向けガイド」
  5. 注釈5
    IPA:「安全なウェブサイトの作り方」
  6. 注釈6
    IPA:「脆弱性体験学習ツール AppGoat」
  7. 注釈7
    NIST:「Retirement of CVSS v2」
  8. 注釈8
    IPA:「JVN iPedia データフィード」
  9. 注釈9
    IPA:「脆弱性対策の効果的な進め方(実践編)」

資料のダウンロード

参考情報

お問い合わせ先

IPA セキュリティセンター

  • E-mail

    isec-jvndbアットマークipa.go.jp