脆弱性対策情報データベースJVN iPediaの登録状況 [2025年第3四半期（7月〜9月）]

1. 2025年第3四半期 脆弱性対策情報データベース JVN iPediaの登録状況

脆弱性対策情報データベース「JVN iPedia」は、ソフトウェア製品に関する脆弱性対策情報を2007年4月25日から日本語で公開しています。システム管理者が迅速に脆弱性対策を行えるよう、1）国内のソフトウェア開発者が公開した脆弱性対策情報、2）脆弱性対策情報ポータルサイトJVN(注釈1)で公表した脆弱性対策情報、3）米国国立標準技術研究所NIST(注釈2)の脆弱性データベース「NVD(注釈3)」が公開した脆弱性対策情報を集約、翻訳しています。

1-1. 脆弱性対策情報の登録状況

脆弱性対策情報の登録件数の累計は253,767件

2025年第3四半期（2025年7月1日から9月30日まで）にJVN iPedia日本語版へ登録した脆弱性対策情報は表1-1の通りとなり、2007年4月25日にJVN iPediaの公開を開始してから本四半期までの、脆弱性対策情報の登録件数の累計は253,767件になりました（表1-1、図1-1）。

また、JVN iPedia英語版へ登録した脆弱性対策情報は表1-2の通り、累計で3,071件になりました。

2. JVN iPediaの登録データ分類

2-1. 脆弱性の種類別件数

図2-1は、2025年第3四半期（7月～9月）にJVN iPediaへ登録した脆弱性対策情報を、共通脆弱性タイプ一覧(CWE)によって分類し、件数を集計したものです。

集計結果は件数が多い順に、CWE-79（クロスサイトスクリプティング）が1,196件、CWE-74（インジェクション）が899件、CWE-119（バッファエラー）が430件、CWE-125（境界外読み取り）が399件、CWE-89（SQLインジェクション）が354件でした。最も件数の多かったCWE-79（クロスサイトスクリプティング）は、悪用されると偽のウェブページが表示されたり、情報が漏えいしたりするおそれがあります。

製品開発者は、ソフトウェアの企画・設計段階から、脆弱性の低減に努めることが求められます。IPAではそのための資料やツールとして、開発者が実施すべき脆弱性対処をまとめた資料「脆弱性対処に向けた製品開発者向けガイド(注釈4)」、開発者や運営者がセキュリティを考慮したウェブサイトを作成するための資料「安全なウェブサイトの作り方 (注釈5)」、脆弱性の仕組みを実習形式や演習機能で学ぶことができる脆弱性体験学習ツール「AppGoat(注釈6)」などを公開しています。

2-2. 脆弱性に関する深刻度別割合

図2-2はJVN iPediaに登録済みの脆弱性対策情報をCVSSv2の値に基づいて深刻度別に分類し、登録年別にその推移を示したものです。2025年にJVN iPediaに登録した脆弱性対策情報は深刻度別に、レベル3が全体の41.1%、レベル2が51.3%、レベル1が7.6%となっており、情報の漏えいや改ざんされるような危険度が高い脅威であるレベル2以上が92.4％を占めています。
なお、2024年よりJVN iPediaにおけるCVSSv2の登録件数が大幅に減少した理由は、JVN iPediaの情報収集元であるNVDにおいてCVSSv2の評価が積極的には行われていない(注釈7)ためです。

図2-3はJVN iPediaに登録済みの脆弱性対策情報をCVSSv3の値に基づいて深刻度別に分類し、登録年別にその推移を示したものです。2025年にJVN iPediaに登録した脆弱性対策情報は深刻度別に、「緊急」が全体の16.0%、「重要」が36.6%、「警告」が45.5%、「注意」が2.0%となっています。

既知の脆弱性による脅威を回避するため、製品開発者は常日頃から新たに報告される脆弱性対策情報に注意を払うと共に、脆弱性が解消されている製品へのバージョンアップやアップデートなどを速やかに行ってください。

なお、新たに登録したJVN iPediaの情報を、RSS形式やXML形式(注釈8) で公開しています。

2-3. 脆弱性対策情報を公開した製品の種類別件数

図2-4はJVN iPediaに登録済みの脆弱性対策情報をソフトウェア製品の種類別に件数を集計し、年次でその推移を示したものです。2025年で最も多い種別は「アプリケーション」に関する脆弱性対策情報で、2025年の件数全件の約71.5%（21,507件／全30,078件）を占めています。

図2-5は重要インフラなどで利用される、産業用制御システムに関する脆弱性対策情報の件数を集計し、年次でその推移を示したものです。これまでに累計で7,950件を登録しています。

2-4. 脆弱性対策情報の製品別登録状況

表2-1は2025年第3四半期（7月～9月）にJVN iPediaへ登録された脆弱性対策情報の中で登録件数が多かった製品上位20位を示したものです。

本四半期においてもクアルコム製品が1位となりました。2位以降はLinux Kernelや、マイクロソフトのOS、およびAndroidのOSがランクインをしました。

JVN iPediaは、表に記載されている製品以外にも幅広い脆弱性対策情報を登録公開しています。製品の利用者や開発者は、自組織などで使用しているソフトウェアの脆弱性対策情報を迅速に入手し、効率的な対策に役立ててください（注釈9）。

3. 脆弱性対策情報の活用状況

表3-1は2025年第3四半期（7月～9月）にアクセスが多かったJVN iPediaの脆弱性対策情報の上位20位を示したものです。

本四半期は、上位20位すべてが脆弱性対策情報ポータルサイトJVNで公開された脆弱性対策情報でした。

表3-2は国内の製品開発者から収集した脆弱性対策情報でアクセスの多かった上位5位を示しています。

注釈

1. 注釈1
   Japan Vulnerability Notes：脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
2. 注釈2
   National Institute of Standards and Technology：米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
3. 注釈3
   National Vulnerability Database：NISTが運営する脆弱性データベース。
4. 注釈4
   IPA：「脆弱性対処に向けた製品開発者向けガイド」
5. 注釈5
   IPA：「安全なウェブサイトの作り方」
6. 注釈6
   IPA：「脆弱性体験学習ツール AppGoat」
7. 注釈7
   NIST：「Retirement of CVSS v2」
8. 注釈8
   IPA：「JVN iPedia データフィード」
9. 注釈9
   IPA：「脆弱性対策の効果的な進め方（実践編）」

資料のダウンロード

• 脆弱性対策情報データベースJVN iPediaの登録状況(PDF:569 KB)

参考情報

• 脆弱性対策情報データベースJVN iPediaの登録状況の一覧