1. 2022年第1四半期 脆弱性対策情報データベース JVN iPediaの登録状況
脆弱性対策情報データベース「JVN iPedia( https://jvndb.jvn.jp/ )」は、ソフトウェア製品に関する脆弱性対策情報を2007年4月25日から日本語で公開しています。システム管理者が迅速に脆弱性対策を行えるよう、1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情報ポータルサイトJVN(*1)で公表した脆弱性対策情報、3)米国国立標準技術研究所NIST(*2)の脆弱性データベース「NVD(*3)」が公開した脆弱性対策情報を集約、翻訳しています。
1-1. 脆弱性対策情報の登録状況
~脆弱性対策情報の登録件数の累計は141,482件~
2022 年第 1 四半期(2022 年 1 月 1 日から 3 月31 日まで)に JVN iPedia 日本語版へ登録した脆弱性対策情報は右表の通りとなり、2007 年 4 月 25 日に JVN iPedia の公開を開始してから本四半期までの、脆弱性対策情報の登録件数の累計は141,482件になりました(表1-1、図1-1)。
また、JVN iPedia英語版へ登録した脆弱性対策情報は右表の通り、累計で2,414件になりました。
| 情報の収集元 | 登録件数 | 累計件数 | |
|---|---|---|---|
| 日本語版 | 国内製品開発者 | 3 件 | 264 件 |
| JVN | 289 件 | 11,135 件 | |
| NVD | 3,488 件 | 130,083 件 | |
| 計 | 3,780 件 | 141,482 件 | |
| 英語版 | 国内製品開発者 | 3 件 | 259 件 |
| JVN | 36 件 | 2,155 件 | |
| 計 | 39 件 | 2,414 件 |
2. JVN iPediaの登録データ分類
2-1. 脆弱性の種類別件数
図 2-1 は、2022 年第 1 四半期(1 月~3 月)に JVN iPedia へ登録した脆弱性対策情報を、共通脆弱性タイプ一覧(CWE)によって分類し、件数を集計したものです。
集計結果は件数が多い順に、CWE-79(クロスサイトスクリプティング)が 443 件、CWE-787(境界外書き込み)が 271 件、CWE-269(不適切な権限管理)が 161 件、CWE-20(不適切な入力確認)が 130 件、CWE-416(解放済みメモリの使用)が 118 件でした。最も件数の多かった CWE-79(クロスサイトスクリプティング)は、悪用されると偽のウェブページが表示されたり、情報が漏えいしたりするおそれがあります。
製品開発者は、ソフトウェアの企画・設計段階から、脆弱性の低減に努めることが求められます。IPAではそのための資料やツールとして、開発者が実施すべき脆弱性対処をまとめた資料「脆弱性対処に向けた製品開発者向けガイド(*4)」、開発者や運営者がセキュリティを考慮したウェブサイトを作成するための資料「安全なウェブサイトの作り方 (*5)」や「IPAセキュア・プログラミング講座(*6)」、脆弱性の仕組みを実習形式や演習機能で学ぶことができる脆弱性体験学習ツール「AppGoat(*7)」などを公開しています。
2-2. 脆弱性に関する深刻度別割合
図2-2はJVN iPediaに登録済みの脆弱性対策情報をCVSSv2の値に基づいて深刻度別に分類し、登録年別にその推移を示したものです。
2022 年に JVN iPedia に登録した脆弱性対策情報は深刻度別に、レベルIIIが全体の 19.1%、レベルIIが 63.8%、レベルIが 17.1%となっており、情報の漏えいや改ざんされるような危険度が高い脅威であるレベル2以上が 82.9%を占めています。
図2-3はJVN iPediaに登録済みの脆弱性対策情報をCVSSv3の値に基づいて深刻度別に分類し、登録年別にその推移を示したものです。
2022 年に JVN iPedia に登録した脆弱性対策情報は深刻度別に、「緊急」が全体の 11.5%、「重要」が 42.3%、「警告」が 43.1%、「注意」が 3.2%となっています。
既知の脆弱性による脅威を回避するため、製品開発者は常日頃から新たに報告される脆弱性対策情報に注意を払うと共に、脆弱性が解消されている製品へのバージョンアップやアップデートなどを速やかに行ってください。
なお、新たに登録したJVN iPediaの情報を、RSS形式やXML形式(*8) で公開しています。
2-3. 脆弱性対策情報を公開した製品の種類別件数
図2-4はJVN iPediaに登録済みの脆弱性対策情報をソフトウェア製品の種類別に件数を集計し、年次でその推移を示したものです。2022 年で最も多い種別は「アプリケーション」に関する脆弱性対策情報で、2022 年の件数全件の約 76.6%(2,897 件/全 3,780 件)を占めています。
図2-5は重要インフラなどで利用される、産業用制御システムに関する脆弱性対策情報の件数を集計し、年次でその推移を示したものです。これまでに累計で3,421件を登録しています。
2-4. 脆弱性対策情報の製品別登録状況
表2-1は2022年第1四半期(1月~3月)にJVN iPediaへ登録された脆弱性対策情報の中で登録件数が多かった製品上位20件を示したものです。
本四半期において最も登録件数が多かった製品は前四半期に引き続きクアルコム製品で、530 件登録されました。これは 2021 年に公表された複数のクアルコム製品に関する脆弱性情報を多数登録したためです。また、Fedora やマイクロソフト社の Windows 製品などの OS 製品が上位 20 件中 14件を占めています。
JVN iPediaは、表に記載されている製品以外にも幅広い脆弱性対策情報を登録公開しています。製品の利用者や開発者は、自組織などで使用しているソフトウェアの脆弱性対策情報を迅速に入手し、効率的な対策に役立ててください(*9)。
| 順位 | カテゴリ | 製品名(ベンダ名) | 登録件数 |
|---|---|---|---|
| 1 | ファームウェア | Qualcomm component (クアルコム) | 530 |
| 2 | OS | Fedora (Fedora Project) | 192 |
| 3 | OS | Debian GNU/Linux (Debian) | 156 |
| 4 | OS | Microsoft Windows 10 (マイクロソフト) | 136 |
| 5 | OS | Microsoft Windows Server 2019 (マイクロソフト) | 130 |
| 5 | OS | Microsoft Windows Server (マイクロソフト) | 130 |
| 7 | OS | Microsoft Windows Server 2022 (マイクロソフト) | 127 |
| 8 | OS | Android (Google) | 120 |
| 9 | OS | Microsoft Windows 11 (マイクロソフト) | 112 |
| 10 | その他 | Google TensorFlow (Google) | 109 |
| 11 | OS | Microsoft Windows Server 2016 (マイクロソフト) | 106 |
| 12 | その他 | OnCommand Insight (NetApp) | 99 |
| 13 | OS | Microsoft Windows Server 2012 (マイクロソフト) | 90 |
| 14 | OS | Microsoft Windows 8.1 (マイクロソフト) | 88 |
| 15 | OS | Microsoft Windows RT 8.1 (マイクロソフト) | 83 |
| 16 | ミドルウェア | MySQL (オラクル) | 76 |
| 17 | その他 | OnCommand Workflow Automation (NetApp) | 73 |
| 18 | OS | Microsoft Windows 7 (マイクロソフト) | 62 |
| 19 | OS | Microsoft Windows Server 2008 (マイクロソフト) | 61 |
| 20 | ブラウザ | Google Chrome (Google) | 57 |
3. 脆弱性対策情報の活用状況
表3-1は2022年第1四半期(1月~3月)にアクセスの多かったJVN iPediaの脆弱性対策情報の上位20件を示したものです。
年に入ってもアクセス数が多く、前四半期に引き続き 2 位となりました。なお、1 位の Samba および 3 位~7 位の WordPress の脆弱性対策情報は、特定の組織からの機械的なアクセスが多くあったことで上位にランクインしています。
| 順位 | ID | タイトル | CVSSv2 基本値 | CVSSv3 基本値 | 公開日 | アクセス数 |
|---|---|---|---|---|---|---|
| 1 | JVNDB-2021-006687 | Samba における境界外読み取りに関する脆弱性 | 4.9 | 6.8 | 2022/1/17 | 23,825 |
| 2 | JVNDB-2021-005429 | Apache Log4j における任意のコードが実行可能な脆弱性 | 9.3 | 10.0 | 2021/12/14 | 15,366 |
| 3 | JVNDB-2020-006788 | WordPress におけるクロスサイトスクリプティングの脆弱性 | 3.5 | 2.4 | 2020/7/17 | 10,057 |
| 4 | JVNDB-2020-006830 | WordPress におけるクロスサイトスクリプティングの脆弱性 | 3.5 | 5.4 | 2020/7/20 | 9,237 |
| 5 | JVNDB-2020-006831 | WordPress におけるクロスサイトスクリプティングの脆弱性 | 3.5 | 6.8 | 2020/7/20 | 8,372 |
| 6 | JVNDB-2020-006832 | WordPress におけるオープンリダイレクトの脆弱性 | 4.9 | 5.7 | 2020/7/20 | 7,916 |
| 7 | JVNDB-2020-006893 | WordPress における代替パスまたはチャネルを使用した認証回避に関する脆弱性 | 6.0 | 3.1 | 2020/7/22 | 7,473 |
| 8 | JVNDB-2021-008164 | EDK II における境界外書き込みに関する脆弱性 | 4.6 | 6.7 | 2022/3/4 | 7,068 |
| 9 | JVNDB-2021-000022 | サイボウズ Office に複数の脆弱性 | 4.0 | 4.3 | 2021/3/15 | 6,497 |
| 10 | JVNDB-2021-006117 | IDEC 製 PLC に複数の脆弱性 | - | 7.6 | 2021/12/27 | 6,410 |
| 11 | JVNDB-2021-000109 | WordPress 用プラグイン Advanced Custom Fields における複数の認証欠如の脆弱性 | 4.0 | 4.3 | 2021/12/2 | 5,903 |
| 12 | JVNDB-2022-000004 | ラベルプリンター「テプラ」PRO SR5900P /SR-R7900P における認証情報の不十分な保護の脆弱性 | 3.3 | 4.3 | 2022/1/13 | 5,770 |
| 13 | JVNDB-2021-006146 | コニカミノルタ製複合機および印刷システムにおける複数の脆弱性 | - | 6.4 | 2021/12/28 | 5,756 |
| 14 | JVNDB-2022-000003 | Android アプリ「ジモティー」に外部サービスの APIキーがハードコードされている問題 | 2.1 | 4.0 | 2022/1/12 | 5,623 |
| 15 | JVNDB-2022-000005 | パスワードマネージャー「ミルパス」PW10 / PW20 における機微な情報を暗号化していない脆弱性 | 4.9 | 4.6 | 2022/1/13 | 5,538 |
| 16 | JVNDB-2022-000002 | WordPress 用プラグイン Quiz And Survey Master における複数の脆弱性 | 4.0 | 5.4 | 2022/1/12 | 5,524 |
| 17 | JVNDB-2016-008013 | 複数の ESET 製品 (macOS 版) におけるサーバ証明書の検証不備の脆弱性 | 4.0 | 4.8 | 2017/4/10 | 5,292 |
| 18 | JVNDB-2022-000011 | HPE Agentless Management が登録する一部のWindows サービスにおいて実行ファイルのパスが引用符で囲まれていない脆弱性 | 6.8 | 8.2 | 2022/2/9 | 5,132 |
| 19 | JVNDB-2022-000006 | php_mailform における複数のクロスサイトスクリプティングの脆弱性 | 4.3 | 6.1 | 2022/1/20 | 5,100 |
| 20 | JVNDB-2021-004912 | エレコム製ルータにおける複数の脆弱性 | - | 8.8 | 2021/12/2 | 5,072 |
表3-2は国内の製品開発者から収集した脆弱性対策情報でアクセスの多かった上位5件を示しています。
| 順位 | ID | タイトル | CVSSv2 基本値 | CVSSv3 基本値 | 公開日 | アクセス数 |
|---|---|---|---|---|---|---|
| 1 | JVNDB-2022-001299 | JP1/IT Desktop Management 2 におけるクロスサイトスクリプティングの脆弱性 | - | - | 2022/2/8 | 4,320 |
| 2 | JVNDB-2021-004432 | JP1/Automatic Operation における複数の脆弱性 | - | - | 2021/11/22 | 4,077 |
| 3 | JVNDB-2021-003840 | Hitachi Infrastructure Analytics Advisor および Hitachi Ops Center Analyzer におけるクロスサイトスクリプティングの脆弱性 | - | - | 2021/11/8 | 3,922 |
| 4 | JVNDB-2021-003660 | Hitachi Device Manager における認証バイパスの脆弱性 | - | - | 2021/11/1 | 3,917 |
| 5 | JVNDB-2021-002810 | Hitachi Tuning Manager、Hitachi Infrastructure Analytics Advisor および Hitachi Ops Center Analyzer における情報露出の脆弱性 | - | - | 2021/10/5 | 3,871 |
注1) CVSSv2基本値の深刻度による色分け
| CVSS基本値 = 0.0~3.9 深刻度=レベルI(注意) |
CVSS基本値 = 4.0~6.9 深刻度=レベルII(警告) |
CVSS基本値 = 7.0~10.0 深刻度=レベルIII(危険) |
注2) CVSSv3基本値の深刻度による色分け
| CVSS基本値 = 0.1~3.9 深刻度=注意 |
CVSS基本値 = 4.0~6.9 深刻度=警告 |
CVSS基本値 = 7.0~8.9 深刻度=重要 |
CVSS基本値 = 9.0~10.0 深刻度=緊急 |
注3) 公開日の年による色分け
| 2020年以前の公開 | 2021年の公開 | 2022年の公開 |
脚注
(*1) Japan Vulnerability Notes:脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
https://jvn.jp/
(*2) National Institute of Standards and Technology:米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
https://www.nist.gov/
(*3) National Vulnerability Database:NISTが運営する脆弱性データベース。
https://nvd.nist.gov
(*4) IPA:「脆弱性対処に向けた製品開発者向けガイド」
https://www.ipa.go.jp/security/vuln/report/notice/guideforvendor.html
(*5) IPA:「安全なウェブサイトの作り方」
https://www.ipa.go.jp/security/vuln/websecurity.html
(*6) IPA:「IPA セキュア・プログラミング講座」
https://www.ipa.go.jp/security/awareness/vendor/programming/
(*7) IPA:「脆弱性体験学習ツール AppGoat」
https://www.ipa.go.jp/security/vuln/appgoat/
(*8) IPA:「JVN iPedia データフィード」
https://jvndb.jvn.jp/ja/feed/
(*9) IPA:「脆弱性対策の効果的な進め方(実践編)」
https://www.ipa.go.jp/security/technicalwatch/20150331.html
資料のダウンロード
- 脆弱性対策情報データベースJVN iPediaに関する活動報告レポート
(PDFファイル 485KB)
参考情報
本件に関するお問い合わせ先
IPA セキュリティセンター 大友/亀山
E-mail: 
