HOME情報セキュリティ脆弱性対策情報脆弱性対策情報データベースJVN iPediaの登録状況 [2021年第3四半期(7月~9月)]

本文を印刷する

情報セキュリティ

脆弱性対策情報データベースJVN iPediaの登録状況 [2021年第3四半期(7月~9月)]

独立行政法人情報処理推進機構
最終更新日:2021年10月20日

1. 2021年第3四半期 脆弱性対策情報データベース JVN iPediaの登録状況

 脆弱性対策情報データベース「JVN iPedia( https://jvndb.jvn.jp/ )」は、ソフトウェア製品に関する脆弱性対策情報を2007年4月25日から日本語で公開しています。システム管理者が迅速に脆弱性対策を行えるよう、1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情報ポータルサイトJVN(*1)で公表した脆弱性対策情報、3)米国国立標準技術研究所NIST(*2)の脆弱性データベース「NVD(*3)」が公開した脆弱性対策情報を集約、翻訳しています。

1-1. 脆弱性対策情報の登録状況

~脆弱性対策情報の登録件数の累計は133,026件~

 2021年第3四半期(2021年7月1日から9月30日まで)にJVN iPedia日本語版へ登録した脆弱性対策情報は右表の通りとなり、2007年4月25日にJVN iPediaの公開を開始してから本四半期までの脆弱性対策情報の登録件数の累計は133,026件になりました(表1-1、図1-1)。
 また、JVN iPedia英語版へ登録した脆弱性対策情報は右表の通り、累計で2,337件になりました。

表1-1.2021年第3四半期の登録件数
  情報の収集元 登録件数 累計件数
日本語版 国内製品開発者 0 256
JVN 264 10,415
NVD 2,938 122,355
3,202 133,026
英語版 国内製品開発者 0 251
JVN 36 2,086
36 2,337

図1-1. JVN iPediaの登録件数の四半期別推移


2. JVN iPediaの登録データ分類

2-1. 脆弱性の種類別件数

 図2-1は、2021年第3四半期(7月~9月)にJVN iPediaへ登録した脆弱性対策情報を、共通脆弱性タイプ一覧(CWE)によって分類し、件数を集計したものです。

 集計結果は件数が多い順に、CWE-79(クロスサイトスクリプティング)が364件、CWE-787(境界外書き込み)が217件、CWE-269(不適切な権限管理)が161件、CWE-416(解放済みメモリの使用)が92件、CWE-125(境界外読み取り)が91件でした。
 最も件数の多かったCWE-79(クロスサイトスクリプティング)は、悪用されると偽のウェブページが表示されたり、情報が漏えいしたりするおそれがあります。

 製品開発者は、ソフトウェアの企画・設計段階から、脆弱性の低減に努めることが求められます。IPAではそのための資料やツールとして、開発者が実施すべき脆弱性対処をまとめた資料「脆弱性対処に向けた製品開発者向けガイド(*4)」、開発者や運営者がセキュリティを考慮したウェブサイトを作成するための資料「安全なウェブサイトの作り方 (*5)」や「IPAセキュア・プログラミング講座(*6)」、脆弱性の仕組みを実習形式や演習機能で学ぶことができる脆弱性体験学習ツール「AppGoat(*7)」などを公開しています。

2-2. 脆弱性に関する深刻度別割合

 図2-2はJVN iPediaに登録済みの脆弱性対策情報をCVSSv2の値に基づいて深刻度別に分類し、登録年別にその推移を示したものです。

 2021年にJVN iPediaに登録した脆弱性対策情報は深刻度別に、レベルIIIが全体の22.1%、レベルIIが62.0%、レベルIが15.9%となっており、情報の漏えいや改ざんされるような危険度が高い脅威であるレベルII以上が84.1%を占めています。

 図2-3はJVN iPediaに登録済みの脆弱性対策情報をCVSSv3の値に基づいて深刻度別に分類し、登録年別にその推移を示したものです。

 2021年にJVN iPediaに登録した脆弱性対策情報は深刻度別に、「緊急」が全体の13.5%、「重要」が43.3%、「警告」が40.5%、「注意」が2.7%となっています。

 既知の脆弱性による脅威を回避するため、製品開発者は常日頃から新たに報告される脆弱性対策情報に注意を払うと共に、脆弱性が解消されている製品へのバージョンアップやアップデートなどを速やかに行ってください。

 なお、新たに登録したJVN iPediaの情報を、RSS形式やXML形式(*8) で公開しています。

2-3. 脆弱性対策情報を公開した製品の種類別件数

 図2-4はJVN iPediaに登録済みの脆弱性対策情報をソフトウェア製品の種類別に件数を集計し、年次でその推移を示したものです。2021年で最も多い種別は「アプリケーション」に関する脆弱性対策情報で、2021年の件数全件の約70.6%(5,395件/全7,638件)を占めています。

 図2-5は重要インフラなどで利用される、産業用制御システムに関する脆弱性対策情報の件数を集計し、年次でその推移を示したものです。これまでに累計で3,043件を登録しています。

2-4. 脆弱性対策情報の製品別登録状況

 表2-1は2021年第3四半期(7月~9月)にJVN iPediaへ登録された脆弱性対策情報の中で登録件数が多かった製品上位20件を示したものです。

 本四半期において最も登録件数が多かった製品はMicrosoft Windows Server 2019で、160件登録されました。その他にもマイクロソフト社のWindows製品が多数登録されており、上位20件中9件と約半数を占めています。

 JVN iPediaは、表に記載されている製品以外にも幅広い脆弱性対策情報を登録公開しています。製品の利用者や開発者は、自組織などで使用しているソフトウェアの脆弱性対策情報を迅速に入手し、効率的な対策に役立ててください(*9)

表2-1. 製品別JVN iPediaの脆弱性対策情報登録件数 上位20件 [2021年7月~2021年9月]
順位カテゴリ製品名(ベンダ名)登録件数
1 OS Microsoft Windows Server 2019 (マイクロソフト) 160
2 OS Microsoft Windows 10 (マイクロソフト) 158
3 OS Microsoft Windows Server (マイクロソフト) 155
4 OS Microsoft Windows Server 2016 (マイクロソフト) 132
5 OS Android (Google) 121
6 OS Debian GNU/Linux (Debian) 114
7 OS Microsoft Windows Server 2012 (マイクロソフト) 113
8 OS Microsoft Windows 8.1 (マイクロソフト) 101
8 OS Microsoft Windows RT 8.1 (マイクロソフト) 101
10 OS Fedora (Fedora Project) 98
11 OS Microsoft Windows Server 2008 (マイクロソフト) 93
12 OS Microsoft Windows 7 (マイクロソフト) 80
13 ファームウェア RV130 VPN Router ファームウェア (シスコシステムズ) 74
13 ファームウェア Cisco RV130W Wireless-N Multifunction VPN Router ファームウェア
(シスコシステムズ)
74
15 ファームウェア Cisco RV110W Wireless-N VPN Firewall ファームウェア
(シスコシステムズ)
73
16 ファームウェア RV215W Wireless-N VPN Router ファームウェア (シスコシステムズ) 59
17 プラットフォーム Application Extension Platform (シスコシステムズ) 58
18 OS Apple Mac OS X (アップル) 55
19 OS iOS (アップル) 45
20 OS iPadOS (アップル) 44

3. 脆弱性対策情報の活用状況

 表3-1は2021年第3四半期(7月~9月)にアクセスの多かったJVN iPediaの脆弱性対策情報の上位20件を示したものです。

 本四半期は1位~4位を2020年7月に公開されたWordPressの脆弱性対策情報が占めました。なお、これは特定の組織から機械的と思われる多くのアクセスがあったためです。また、上位20件中15件が脆弱性対策情報ポータルサイトJVNで公開された脆弱性対策情報でした。

表3-1.JVN iPediaの脆弱性対策情報へのアクセス 上位20件 [2021年7月~2021年9月]
順位IDタイトルCVSSv2
基本値
CVSSv3
基本値
公開日アクセス数
1 JVNDB-2020-006830 WordPress におけるクロスサイトスクリプティングの脆弱性 3.5 5.4 2020/7/20 11,396
2 JVNDB-2020-006788 WordPress におけるクロスサイトスクリプティングの脆弱性 3.5 2.4 2020/7/17 11,137
3 JVNDB-2020-006831 WordPress におけるクロスサイトスクリプティングの脆弱性 3.5 6.8 2020/7/20 10,495
4 JVNDB-2020-006893 WordPress における代替パスまたはチャネルを使用した認証回避に関する脆弱性 6.0 3.1 2020/7/22 10,157
5 JVNDB-2014-003893 phpMyAdmin におけるクロスサイトスクリプティングの脆弱性 3.5 なし 2014/8/25 7,898
6 JVNDB-2021-000072 Minecraft Java Edition におけるディレクトリトラバーサルの脆弱性 5.0 5.3 2021/7/21 6,604
7 JVNDB-2021-000059 EC-CUBE におけるアクセス制限不備の脆弱性 5.0 7.5 2021/7/1 6,459
8 JVNDB-2021-000067 Everything における HTTP ヘッダインジェクションの脆弱性 5.8 6.1 2021/7/9 6,453
9 JVNDB-2021-000070 GroupSession における複数の脆弱性 4.0 5.0 2021/7/19 6,116
10 JVNDB-2021-000065 WordPress 用プラグイン WordPress Meta Data Filter & Taxonomies Filter におけるクロスサイトリクエストフォージェリの脆弱性 2.6 4.3 2021/7/8 6,068
11 JVNDB-2021-002077 複数のトレンドマイクロ製企業向けエンドポイントセキュリティ製品における複数の脆弱性 なし 7.8 2021/7/30 5,992
12 JVNDB-2021-002005 トレンドマイクロ製 InterScan Web Security シリーズにおけるクロスサイトスクリプティングの脆弱性 3.5 5.4 2021/7/19 5,901
13 JVNDB-2021-000068 スマートフォンアプリ「Retty」における複数の脆弱性 5.0 4.0 2021/7/13 5,893
14 JVNDB-2021-000069 光BBユニット E-WMTA2.3 におけるクロスサイトリクエストフォージェリの脆弱性 4.0 5.4 2021/7/14 5,863
15 JVNDB-2007-002102 boastMachine におけるクロスサイトスクリプティングの脆弱性 4.3 6.1 2012/6/26 5,830
16 JVNDB-2020-000071 サイボウズ Garoon における不適切な入力確認の脆弱性 4.0 4.3 2020/11/5 5,685
17 JVNDB-2021-000066 WordPress 用プラグイン Software License Manager におけるクロスサイトリクエストフォージェリの脆弱性 2.6 4.3 2021/7/8 5,655
18 JVNDB-2021-000058 IKaIKa RSSリーダーにおけるクロスサイトスクリプティングの脆弱性 5.8 5.4 2021/6/30 5,607
19 JVNDB-2021-000064 Android アプリ「ジーユー」におけるアクセス制限不備の脆弱性 4.3 4.3 2021/7/7 5,485
20 JVNDB-2021-001977 エレコム製ルータにおける認証不備および OS コマンドインジェクションの脆弱性 なし 6.3 2021/7/7 5,463

 表3-2は国内の製品開発者から収集した脆弱性対策情報でアクセスの多かった上位5件を示しています。

表3-2.国内の製品開発者から収集した脆弱性対策情報へのアクセス 上位5件[2021年7月~2021年9月]
順位IDタイトルCVSSv2
基本値
CVSSv3
基本値
公開日アクセス数
1 JVNDB-2021-001345 CCosminexus 運用管理機能における情報露出の脆弱性 なし なし 2021/4/13 4,123
2 JVNDB-2021-001021 JP1/IT Desktop Management 2 - Manager、 JP1/NETM/Asset Information Managerにおけるアクセス制御不備による脆弱性 なし なし 2021/2/8 4,054
3 JVNDB-2020-004476 JP1/Automatic Job Management System 3 および JP1/Automatic Job Management System 2 における DoS 脆弱性 なし なし 2020/5/18 4,052
3 JVNDB-2021-001344 JP1/VERITAS 製品における脆弱性 なし なし 2021/4/13 4,052
5 JVNDB-2021-001026 JP1/Automatic Operation における複数の脆弱性 なし なし 2021/2/16 4,040

注1) CVSSv2基本値の深刻度による色分け

CVSS基本値 = 0.0~3.9
深刻度=レベルI(注意)
CVSS基本値 = 4.0~6.9
深刻度=レベルII(警告)
CVSS基本値 = 7.0~10.0
深刻度=レベルIII(危険)

注2) CVSSv3基本値の深刻度による色分け

CVSS基本値 = 0.1~3.9
深刻度=注意
CVSS基本値 = 4.0~6.9
深刻度=警告
CVSS基本値 = 7.0~8.9
深刻度=重要
CVSS基本値 = 9.0~10.0
深刻度=緊急

注3) 公開日の年による色分け

2019年以前の公開 2020年の公開 2021年の公開

脚注

(*1) Japan Vulnerability Notes:脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
https://jvn.jp/別ウィンドウで開く

(*2) National Institute of Standards and Technology:米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
https://www.nist.gov/別ウィンドウで開く

(*3) National Vulnerability Database:NISTが運営する脆弱性データベース。
https://nvd.nist.gov別ウィンドウで開く

(*4) IPA:「脆弱性対処に向けた製品開発者向けガイド」
https://www.ipa.go.jp/security/vuln/report/notice/guideforvendor.html

(*5) IPA:「安全なウェブサイトの作り方」
https://www.ipa.go.jp/security/vuln/websecurity.html

(*6) IPA:「IPA セキュア・プログラミング講座」
https://www.ipa.go.jp/security/awareness/vendor/programming/

(*7) IPA:「脆弱性体験学習ツール AppGoat」
https://www.ipa.go.jp/security/vuln/appgoat/

(*8) IPA:「JVN iPedia データフィード」
https://jvndb.jvn.jp/ja/feed/

(*9) IPA:「脆弱性対策の効果的な進め方(実践編)」
https://www.ipa.go.jp/security/technicalwatch/20150331.html

資料のダウンロード

参考情報

アンケートのお願い

まもるくんからのお願い  よろしければ今後のサービス向上を図るため、「脆弱性対策情報データベースJVN iPediaの登録状況 [2021年第3四半期(7~9月)]」に関するアンケートにご協力ください。

アンケート画面へ

本件に関するお問い合わせ先

IPA セキュリティセンター 大友/亀山
E-mail: