HOME情報セキュリティ脆弱性対策情報脆弱性対策情報データベースJVN iPediaの登録状況 [2020年第1四半期(1月~3月)]

本文を印刷する

情報セキュリティ

脆弱性対策情報データベースJVN iPediaの登録状況 [2020年第1四半期(1月~3月)]

独立行政法人情報処理推進機構
最終更新日:2020年5月13日

1. 2020年第1四半期 脆弱性対策情報データベース JVN iPediaの登録状況

 脆弱性対策情報データベース「JVN iPedia( https://jvndb.jvn.jp/ )」は、ソフトウェア製品に関する脆弱性対策情報を2007年4月25日から日本語で公開しています。システム管理者が迅速に脆弱性対策を行えるよう、1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情報ポータルサイトJVN(*1)で公表した脆弱性対策情報、3)米国国立標準技術研究所NIST(*2)の脆弱性データベース「NVD(*3)」が公開した脆弱性対策情報を集約、翻訳しています。

1-1. 脆弱性対策情報の登録状況

~脆弱性対策情報の登録件数の累計は116,604件~

 2020年第1四半期(2020年1月1日から3月31日まで)にJVN iPedia日本語版へ登録した脆弱性対策情報は下表の通りとなり、2007年4月25日にJVN iPediaの公開を開始してから本四半期までの脆弱性対策情報の登録件数の累計は、116,604件になりました(表1-1、図1-1)。
 また、JVN iPedia英語版へ登録した脆弱性対策情報は下表の通り、累計で2,132件になりました。

表1-1.2020年第1四半期の登録件数
  情報の収集元 登録件数 累計件数
日本語版 国内製品開発者 5 232
JVN 184 9,061
NVD 4,331 107,311
4,520 116,604
英語版 国内製品開発者 4 230
JVN 35 1,902
39 2,132

図1-1. JVN iPediaの登録件数の四半期別推移


2. JVN iPediaの登録データ分類

2-1. 脆弱性の種類別件数

 図2-1は、2020年第1四半期(1月~3月)にJVN iPediaへ登録した脆弱性対策情報を、共通脆弱性タイプ一覧(CWE)によって分類し、件数を集計したものです。

 集計結果は件数が多い順に、CWE-79(クロスサイトスクリプティング)が636件、CWE-20(不適切な入力確認)が310件、CWE-200(情報漏えい)が305件、CWE-269(不適切な権限管理)が290件、CWE-787(境界外書き込み)が195件でした。
 最も件数の多かったCWE-79(クロスサイトスクリプティング)は、悪用されると偽のウェブページが表示されたり、情報が漏えいしたりするおそれがあります。

 製品開発者は、ソフトウェアの企画・設計段階から、脆弱性の低減に努めることが求められます。IPAではそのための資料やツールとして、開発者や運営者がセキュリティを考慮したウェブサイトを作成するための資料「安全なウェブサイトの作り方 (*4)」や、「IPAセキュア・プログラミング講座(*5)」、脆弱性の仕組みを実習形式や演習機能で学ぶことができる脆弱性体験学習ツール「AppGoat(*6)」などを公開しています。

2-2. 脆弱性に関する深刻度別割合

 図2-2はJVN iPediaに登録済みの脆弱性対策情報をCVSSv2の値に基づいて深刻度別に分類し、登録年別にその推移を示したものです。

 2020年にJVN iPediaに登録した脆弱性対策情報は深刻度別に、レベルIIIが全体の25.2%、レベルIIが61.0%、レベルIが13.8%となっており、情報の漏えいや改ざんされるような危険度が高い脅威であるレベルII以上が86.2%を占めています。

 図2-3はJVN iPediaに登録済みの脆弱性対策情報をCVSSv3の値に基づいて深刻度別に分類し、登録年別にその推移を示したものです。

 2020年にJVN iPediaに登録した脆弱性対策情報は深刻度別に、「緊急」が全体の16.2%、「重要」が40.5%、「警告」が41.8%、「注意」が1.5%となっています。

 既知の脆弱性による脅威を回避するため、製品開発者は常日頃から新たに報告される脆弱性対策情報に注意を払うと共に、脆弱性が解消されている製品へのバージョンアップやアップデートなどを速やかに行ってください。

 なお、新たに登録したJVN iPediaの情報を、RSS形式やXML形式(*7) で公開しています。

2-3. 脆弱性対策情報を公開した製品の種類別件数

 図2-4はJVN iPediaに登録済みの脆弱性対策情報をソフトウェア製品の種類別に件数を集計し、年次でその推移を示したものです。2020年で最も多い種別は「アプリケーション」に関する脆弱性対策情報で、2020年の件数全件の約74.4%(3,362件/全4,519件)を占めています。

 図2-5は重要インフラなどで利用される、産業用制御システムに関する脆弱性対策情報の件数を集計し、年次でその推移を示したものです。これまでに累計で2,462件を登録しています。

2-4. 脆弱性対策情報の製品別登録状況

 表2-1は2020年第1四半期(1月~3月)にJVN iPediaへ登録された脆弱性対策情報の中で登録件数が多かった製品の上位20件を示したものです。

 本四半期において最も登録件数が多かったのは、マイクロソフトが提供するMicrosoft Windows 10でした。2位以降も同社製品であるWindows OSが多くランクインされています。他にもアップルが提供するiOSやApple Mac OS X等、OS製品に関する脆弱性対策情報が多く登録されました。

 JVN iPediaは、表に記載されている製品以外にも幅広い脆弱性対策情報を登録公開しています。製品の利用者や開発者は、自組織などで使用しているソフトウェアの脆弱性対策情報を迅速に入手し、効率的な対策に役立ててください(*8)

表2-1. 製品別JVN iPediaの脆弱性対策情報登録件数 上位20件 [2020年1月~2020年3月]
順位カテゴリ製品名(ベンダ名)登録件数
1 OS Microsoft Windows 10 (マイクロソフト) 188
2 OS Microsoft Windows Server (マイクロソフト) 182
3 OS Microsoft Windows Server 2019 (マイクロソフト) 174
4 OS Microsoft Windows Server 2016 (マイクロソフト) 165
5 OS Microsoft Windows Server 2012 (マイクロソフト) 131
6 OS Microsoft Windows 8.1 (マイクロソフト) 127
7 OS Microsoft Windows RT 8.1 (マイクロソフト) 125
8 開発環境 GitLab (GitLab.org) 120
9 ナレッジベースソフトウェア PHPKB (Chadha Software Technologies) 119
10 OS Microsoft Windows Server 2008 (マイクロソフト) 105
11 OS Microsoft Windows 7 (マイクロソフト) 103
12 OS Android (Google) 81
13 ファームウェア Qualcomm compornent (クアルコム) 71
14 OS iOS (アップル) 53
15 ブラウザ Google Chrome (Google) 50
16 OS Apple Mac OS X (アップル) 48
17 OS tvOS (アップル) 42
18 ブラウザ Mozilla Firefox (Mozilla Foundation) 41
19 PDF閲覧・編集 Adobe Acrobat DC (アドビシステムズ) 40
19 PDF閲覧 Adobe Acrobat Reader DC (アドビシステムズ) 40

3. 脆弱性対策情報の活用状況

 表3-1は2020年第1四半期(1月~3月)にアクセスの多かったJVN iPediaの脆弱性対策情報の上位20件を示したものです。

 1位、2位にランクインしたJunos OSは企業向けルータ等で使用されるOS製品です。この製品に影響する脆弱性種別はクロスサイトスクリプティングとディレクトリトラバーサルとなっており、悪用された場合、ルータ管理者が操作するウェブ画面上で任意のスクリプトが実行されたり、サーバ上のファイルが閲覧・削除されたりする可能性があります。利用者は影響を受けるバージョンを確認し、必要に応じて最新版へのアップデートまたはワークアラウンドを実施し、攻撃による被害を未然に防ぐことが求められます。

表3-1.JVN iPediaの脆弱性対策情報へのアクセス 上位20件 [2020年1月~2020年3月]
順位IDタイトルCVSSv2
基本値
CVSSv3
基本値
公開日アクセス数
1 JVNDB-2020-000003 Junos OS におけるクロスサイトスクリプティングの脆弱性 2.6 6.1 2020/1/10 7,342
2 JVNDB-2020-000002 Junos OS におけるディレクトリトラバーサルの脆弱性 5.5 5.4 2020/1/10 7,326
3 JVNDB-2020-000001 F-RevoCRM におけるクロスサイトスクリプティングの脆弱性 2.6 6.1 2020/1/8 7,250
4 JVNDB-2020-000005 トレンドマイクロ製パスワードマネージャーにおける情報漏えいの脆弱性 1.7 3.3 2020/1/17 6,569
5 JVNDB-2019-000074 Athenz におけるオープンリダイレクトの脆弱性 4.3 4.7 2019/12/12 6,089
6 JVNDB-2019-013271 Hitachi Automation Director における複数の脆弱性 なし なし 2019/12/24 5,975
7 JVNDB-2019-000077 Android アプリ「日テレニュース24」における SSL サーバ証明書の検証不備の脆弱性 4.0 4.8 2019/12/19 5,882
8 JVNDB-2020-000006 富士ゼロックス製の複数のスマートフォンアプリにおける SSL サーバ証明書の検証不備の脆弱性 4.0 4.8 2020/1/21 5,869
9 JVNDB-2019-000078 a-blog cms における複数の脆弱性 4.3 6.1 2019/12/20 5,868
10 JVNDB-2019-013273 Hitachi Compute Systems Manager における DoS 脆弱性 なし なし 2019/12/24 5,732
11 JVNDB-2019-000058 複数のリコー製プリンタおよび複合機における複数のバッファオーバーフローの脆弱性 7.5 9.8 2019/9/13 5,429
12 JVNDB-2019-013272 Hitachi Command Suite 製品および Hitachi Infrastructure Analytics Advisor における複数の脆弱性 なし なし 2019/12/24 5,407
13 JVNDB-2019-000076 サイボウズ Office における複数の脆弱性 4.0 7.7 2019/12/17 5,294
14 JVNDB-2019-011088 ウイルスバスターコーポレートエディションにおけるディレクトリトラバーサルの脆弱性 5.2 8.2 2019/10/29 5,271
15 JVNDB-2019-014437 リコー製プリンタドライバにおける権限昇格の脆弱性 4.3 7.8 2020/2/17 5,183
16 JVNDB-2020-000016 Aterm WF1200CR、WG1200CR および WG2600HS における複数の OS コマンドインジェクションの脆弱性 8.3 8.8 2020/2/19 5,022
17 JVNDB-2019-000075 WordPress 用プラグイン Custom Body Class における複数の脆弱性 2.6 6.1 2019/12/12 4,914
18 JVNDB-2019-000024 Android アプリ「クリエイトSD公式アプリ」におけるアクセス制限不備の脆弱性 2.6 3.3 2019/5/10 4,843
19 JVNDB-2019-009884 FON がオープンリゾルバとして機能してしまう問題 5.0 5.8 2019/10/2 4,839
20 JVNDB-2020-000013 ウイルスバスター クラウド (Windows版) におけるサービス運用妨害 (DoS) の脆弱性 2.1 6.2 2020/2/14 4,835

 表3-2は国内の製品開発者から収集した脆弱性対策情報でアクセスの多かった上位5件を示しています。

表3-2.国内の製品開発者から収集した脆弱性対策情報へのアクセス 上位5件 [2020年1月~2020年3月]
順位IDタイトルCVSSv2
基本値
CVSSv3
基本値
公開日アクセス数
1 JVNDB-2019-013271 Hitachi Automation Director における複数の脆弱性 なし なし 2019/12/24 5,975
2 JVNDB-2019-013273 Hitachi Compute Systems Manager における DoS 脆弱性 なし なし 2019/12/24 5,732
3 JVNDB-2019-013272 Hitachi Command Suite 製品および Hitachi Infrastructure Analytics Advisor における複数の脆弱性 なし なし 2019/12/24 5,407
4 JVNDB-2019-011486 Hitachi Command Suite 製品における不当にファイルが削除される脆弱性 なし なし 2019/11/11 4,226
5 JVNDB-2018-010027 JP1/Operations Analytics におけるディレクトリパーミッションの問題 3.5 4.9 2018/12/4 4,203

注1) CVSSv2基本値の深刻度による色分け

CVSS基本値 = 0.0~3.9
深刻度=レベルI(注意)
CVSS基本値 = 4.0~6.9
深刻度=レベルII(警告)
CVSS基本値 = 7.0~10.0
深刻度=レベルIII(危険)

注2) CVSSv3基本値の深刻度による色分け

CVSS基本値 = 0.1~3.9
深刻度=注意
CVSS基本値 = 4.0~6.9
深刻度=警告
CVSS基本値 = 7.0~8.9
深刻度=重要
CVSS基本値 = 9.0~10.0
深刻度=緊急

注3) 公開日の年による色分け

2018年以前の公開 2019年の公開 2020年の公開

脚注

(*1) Japan Vulnerability Notes:脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
https://jvn.jp/別ウィンドウで開く

(*2) National Institute of Standards and Technology:米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
https://www.nist.gov/別ウィンドウで開く

(*3) National Vulnerability Database:NISTが運営する脆弱性データベース。
https://nvd.nist.gov別ウィンドウで開く

(*4) IPA:「安全なウェブサイトの作り方」
https://www.ipa.go.jp/security/vuln/websecurity.html

(*5) IPA:「IPA セキュア・プログラミング講座」
https://www.ipa.go.jp/security/awareness/vendor/programming/

(*6) IPA:脆弱性体験学習ツール 「AppGoat」
https://www.ipa.go.jp/security/vuln/appgoat/

(*7) データフィード
https://jvndb.jvn.jp/ja/feed/

(*8) 脆弱性情報の収集や集めた情報の活用方法についての手引きをまとめたレポート「脆弱性対策の効果的な進め方(実践編)」を公開。
https://www.ipa.go.jp/security/technicalwatch/20150331.html

資料のダウンロード

参考情報

アンケートのお願い

まもるくんからのお願い  よろしければ今後のサービス向上を図るため、「脆弱性対策情報データベースJVN iPediaの登録状況 [2020年第1四半期(1~3月)]」に関するアンケートにご協力ください。

アンケート画面へ

本件に関するお問い合わせ先

IPA セキュリティセンター 渡邉/大友
E-mail: