脆弱性対策情報データベースJVN iPediaの登録状況 [2022年第2四半期（4月〜6月）]

1. 2022年第2四半期 脆弱性対策情報データベース JVN iPediaの登録状況

脆弱性対策情報データベース「JVN iPedia」は、ソフトウェア製品に関する脆弱性対策情報を2007年4月25日から日本語で公開しています。システム管理者が迅速に脆弱性対策を行えるよう、1）国内のソフトウェア開発者が公開した脆弱性対策情報、2）脆弱性対策情報ポータルサイトJVN(*1)で公表した脆弱性対策情報、3）米国国立標準技術研究所NIST(*2)の脆弱性データベース「NVD(*3)」が公開した脆弱性対策情報を集約、翻訳しています。

1-1. 脆弱性対策情報の登録状況

～脆弱性対策情報の登録件数の累計は143,807件～

2022 年第 2 四半期（2022 年 4 月 1 日から 6 月 30 日まで）に JVN iPedia 日本語版へ登録した脆弱性対策情報は下表の通りとなり、2007 年 4 月 25 日に JVN iPedia の公開を開始してから本四半期までの、脆弱性対策情報の登録件数の累計は143,807件になりました（表1-1、図1-1）。
また、JVN iPedia英語版へ登録した脆弱性対策情報は下表の通り、累計で2,447件になりました。

表1-1．2022年第2四半期の登録件数

2. JVN iPediaの登録データ分類

2-1. 脆弱性の種類別件数

図 2-1 は、2022 年第2 四半期（4 月～6 月）に JVN iPedia へ登録した脆弱性対策情報を、共通脆弱性タイプ一覧(CWE)によって分類し、件数を集計したものです。

集計結果は件数が多い順に、CWE-79（クロスサイトスクリプティング）が285件、CWE-787（境界外書き込み）が103件、CWE-89（SQLインジェクション）が91件、CWE-416（解放済みメモリの使用）が90件、CWE-20（不適切な入力確認）が84件でした。最も件数の多かったCWE-79（クロスサイトスクリプティング）は、悪用されると偽のウェブページが表示されたり、情報が漏えいしたりするおそれがあります。

製品開発者は、ソフトウェアの企画・設計段階から、脆弱性の低減に努めることが求められます。IPAではそのための資料やツールとして、開発者が実施すべき脆弱性対処をまとめた資料「脆弱性対処に向けた製品開発者向けガイド(*4)」、開発者や運営者がセキュリティを考慮したウェブサイトを作成するための資料「安全なウェブサイトの作り方 (*5)」や「IPAセキュア・プログラミング講座(*6)」、脆弱性の仕組みを実習形式や演習機能で学ぶことができる脆弱性体験学習ツール「AppGoat(*7)」などを公開しています。

2-2. 脆弱性に関する深刻度別割合

図2-2はJVN iPediaに登録済みの脆弱性対策情報をCVSSv2の値に基づいて深刻度別に分類し、登録年別にその推移を示したものです。

2022 年に JVN iPedia に登録した脆弱性対策情報は深刻度別に、レベルIIIが全体の 19.2%、レベルIIが 64.0%、レベルIが 16.8%となっており、情報の漏えいや改ざんされるような危険度が高い脅威であるレベル2以上が 83.2％を占めています。

図2-3はJVN iPediaに登録済みの脆弱性対策情報をCVSSv3の値に基づいて深刻度別に分類し、登録年別にその推移を示したものです。

2022年にJVN iPediaに登録した脆弱性対策情報は深刻度別に、「緊急」が全体の11.4%、「重要」が42.5%、「警告」が43.4%、「注意」が2.7%となっています。

既知の脆弱性による脅威を回避するため、製品開発者は常日頃から新たに報告される脆弱性対策情報に注意を払うと共に、脆弱性が解消されている製品へのバージョンアップやアップデートなどを速やかに行ってください。

なお、新たに登録したJVN iPediaの情報を、RSS形式やXML形式(*8) で公開しています。

2-3. 脆弱性対策情報を公開した製品の種類別件数

図2-4はJVN iPediaに登録済みの脆弱性対策情報をソフトウェア製品の種類別に件数を集計し、年次でその推移を示したものです。2022年で最も多い種別は「アプリケーション」に関する脆弱性対策情報で、2022年の件数全件の約76.1%（4,644件／全6,105件）を占めています。

図2-5は重要インフラなどで利用される、産業用制御システムに関する脆弱性対策情報の件数を集計し、年次でその推移を示したものです。これまでに累計で3,543件を登録しています。

2-4. 脆弱性対策情報の製品別登録状況

表2-1は2022年第2四半期（4月～6月）にJVN iPediaへ登録された脆弱性対策情報の中で登録件数が多かった製品上位20件を示したものです。

本四半期において最も登録件数が多かった製品は前四半期に引き続きクアルコム製品で、230件登録されました。これは2021年に公表された複数のクアルコム製品に関する脆弱性情報を多数登録したためです。また、2位から12位まではマイクロソフト社のWindows製品が並びました。

JVN iPediaは、表に記載されている製品以外にも幅広い脆弱性対策情報を登録公開しています。製品の利用者や開発者は、自組織などで使用しているソフトウェアの脆弱性対策情報を迅速に入手し、効率的な対策に役立ててください(*9)。

表2-1. 製品別JVN iPediaの脆弱性対策情報登録件数　上位20件 [2022年4月～2022年6月]

3. 脆弱性対策情報の活用状況

表3-1 は2022 年第2 四半期（4 月～6 月）にアクセスの多かったJVN iPedia の脆弱性対策情報の上位20 件を示したものです。

本四半期は、2022 年3 月31 日に公表されSpring4Shell の名称で非常に注目されたSpring Framework の脆弱性対策情報が1 位となりました。また、上位20 件中19 件が脆弱性対策情報ポータルサイトJVN で公開された脆弱性対策情報でした。

評価基準

注1) CVSSv2基本値の深刻度による色分け

• レベルI（注意）
  • CVSS基本値 = 0.0～3.9
• レベルII（警告）
  • CVSS基本値 = 4.0～6.9
• レベルIII（危険）
  • CVSS基本値 = 7.0～10.0

注2) CVSSv3基本値の深刻度による色分け

• 注意
  • CVSS基本値 = 0.1～3.9
• 警告
  • CVSS基本値 = 4.0～6.9
• 重要
  • CVSS基本値 = 7.0～8.9
• 緊急
  • CVSS基本値 = 9.0～10.0

表3-1.JVN iPediaの脆弱性対策情報へのアクセス　上位20件 [2022年4月～2022年6月]

1位　Spring Framework における不適切なデータバインディング処理による任意コード実行の脆弱性JVNDB-2022-001498

• Spring Framework における不適切なデータバインディング処理による任意コード実行の脆弱性

2位　FUJITSU Network IPCOM の運用管理インタフェースにおける複数の脆弱性　JVNDB-2022-000030

• FUJITSU Network IPCOM の運用管理インタフェースにおける複数の脆弱性

3位　WordPress 用プラグイン Advanced Custom Fields における認証欠如の脆弱性　JVNDB-2022-000023

• WordPress 用プラグイン Advanced Custom Fields における認証欠如の脆弱性

4位　Trend Micro Apex Central および Trend Micro Apex Central as a Service におけるファイルコンテンツの検証不備の脆弱性　JVNDB-2022-001494

• Trend Micro Apex Central および Trend Micro Apex Central as a Service におけるファイルコンテンツの検証不備の脆弱性

5位　ぜろちゃんねるプラスにおけるクロスサイトスクリプティングの脆弱性　JVNDB-2022-000024

• ぜろちゃんねるプラスにおけるクロスサイトスクリプティングの脆弱性

6位　アタッシェケースにおける DLL 読み込みに関する脆弱性　JVNDB-2022-000022

• アタッシェケースにおける DLL 読み込みに関する脆弱性

7位　トレンドマイクロ製ウイルスバスター for Mac における権限昇格の脆弱性　JVNDB-2022-001526

• トレンドマイクロ製ウイルスバスター for Mac における権限昇格の脆弱性

8位　AssetView における重要な機能に対する認証の欠如の脆弱性　JVNDB-2022-000027

• AssetView における重要な機能に対する認証の欠如の脆弱性

9位　Apache HTTP Server における HTTP リクエストスマグリングに関する脆弱性　JVNDB-2022-001479

• Apache HTTP Server における HTTP リクエストスマグリングに関する脆弱性

10位　WordPress 用プラグイン「MicroPayments - Paid Author Subscriptions, Content, Downloads, Membership」におけるクロスサイトリクエストフォージェリの脆弱性　JVNDB-2022-000026

• WordPress 用プラグイン「MicroPayments - Paid Author Subscriptions, Content, Downloads, Membership」におけるクロスサイトリクエストフォージェリの脆弱性

11位　キングソフト製「WPS Office」および「KINGSOFT Internet Security」における複数の脆弱性　JVNDB-2022-000021

• キングソフト製「WPS Office」および「KINGSOFT Internet Security」における複数の脆弱性

12位　Netcommunity OG410X および OG810X シリーズにおける OS コマンドインジェクションの脆弱性　JVNDB-2022-001477

• Netcommunity OG410X および OG810X シリーズにおける OS コマンドインジェクションの脆弱性

13位　CLUSTERPRO X および EXPRESSCLUSTER X における複数の脆弱性　JVNDB-2021-000097

• CLUSTERPRO X および EXPRESSCLUSTER X における複数の脆弱性

14位　pfSense における複数の脆弱性　JVNDB-2022-000020

• pfSense における複数の脆弱性

15位　エレコム製ルータにおける複数の脆弱性　JVNDB-2021-004912

• エレコム製ルータにおける複数の脆弱性

16位　OpenKM におけるクロスサイトスクリプティングの脆弱性　JVNDB-2014-007972

• OpenKM におけるクロスサイトスクリプティングの脆弱性

17位　i-FILTER における失効したサーバ証明書の検証不備の脆弱性　JVNDB-2022-000008

• i-FILTER における失効したサーバ証明書の検証不備の脆弱性

18位　オムロン製 CX-Programmer における複数の脆弱性　JVNDB-2022-001384

• オムロン製 CX-Programmer における複数の脆弱性

19位　UNIVERGE WA シリーズにおける OS コマンドインジェクションの脆弱性　JVNDB-2022-000016

• UNIVERGE WA シリーズにおける OS コマンドインジェクションの脆弱性

20位　a-blog cms における複数の脆弱性　JVNDB-2022-000014

• a-blog cms における複数の脆弱性

表3-2は国内の製品開発者から収集した脆弱性対策情報でアクセスの多かった上位5件を示しています。

表3-2.国内の製品開発者から収集した脆弱性対策情報へのアクセス 上位5件[2022年4月～2022年6月]

1位　Hitachi Command Suite 製品におけるファイルパーミッションの脆弱性　JVNDB-2022-001382

• Hitachi Command Suite 製品におけるファイルパーミッションの脆弱性

2位　Hitachi Ops Center Viewpoint におけるディレクトリパーミッションの脆弱性　JVNDB-2022-001383

• Hitachi Ops Center Viewpoint におけるディレクトリパーミッションの脆弱性

3位　JP1/IT Desktop Management 2 におけるクロスサイトスクリプティングの脆弱性　JVNDB-2022-001299

• JP1/IT Desktop Management 2 におけるクロスサイトスクリプティングの脆弱性

4位　Hitachi Device Manager における認証バイパスの脆弱性　JVNDB-2021-003660

• Hitachi Device Manager における認証バイパスの脆弱性

5位　Hitachi Tuning Manager、Hitachi Infrastructure Analytics Advisor および Hitachi Ops Center Analyzer における情報露出の脆弱性　JVNDB-2021-002810

• Hitachi Tuning Manager、Hitachi Infrastructure Analytics Advisor および Hitachi Ops Center Analyzer における情報露出の脆弱性

脚注

1. (*1)
   Japan Vulnerability Notes：脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。

1. (*2)
   National Institute of Standards and Technology：米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。

1. (*3)
   National Vulnerability Database：NISTが運営する脆弱性データベース。

1. (*4)
   IPA：「脆弱性対処に向けた製品開発者向けガイド」

1. (*5)
   IPA：「安全なウェブサイトの作り方」

1. (*6)
   IPA：「IPA セキュア・プログラミング講座」

1. (*7)
   IPA：「脆弱性体験学習ツール AppGoat」

1. (*8)
   IPA：「JVN iPedia データフィード」

1. (*9)
   IPA：「脆弱性対策の効果的な進め方（実践編）」

資料のダウンロード

• 脆弱性対策情報データベースJVN iPediaに関する活動報告レポート(PDF:476 KB)

参考情報

• 脆弱性対策情報データベースJVN iPediaの登録状況の一覧