HOME情報セキュリティ脆弱性対策情報脆弱性対策情報データベースJVN iPediaの登録状況 [2022年第2四半期(4月~6月)]

本文を印刷する

情報セキュリティ

脆弱性対策情報データベースJVN iPediaの登録状況 [2022年第2四半期(4月~6月)]

独立行政法人情報処理推進機構
最終更新日:2022年07月20日

1. 2022年第2四半期 脆弱性対策情報データベース JVN iPediaの登録状況

 脆弱性対策情報データベース「JVN iPedia( https://jvndb.jvn.jp/ )」は、ソフトウェア製品に関する脆弱性対策情報を2007年4月25日から日本語で公開しています。システム管理者が迅速に脆弱性対策を行えるよう、1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情報ポータルサイトJVN(*1)で公表した脆弱性対策情報、3)米国国立標準技術研究所NIST(*2)の脆弱性データベース「NVD(*3)」が公開した脆弱性対策情報を集約、翻訳しています。

1-1. 脆弱性対策情報の登録状況

~脆弱性対策情報の登録件数の累計は143,807件~

 2022 年第 2 四半期(2022 年 4 月 1 日から 6 月 30 日まで)に JVN iPedia 日本語版へ登録した脆弱性対策情報は下表の通りとなり、2007 年 4 月 25 日に JVN iPedia の公開を開始してから本四半期までの、脆弱性対策情報の登録件数の累計は143,807件になりました(表1-1、図1-1)。
 また、JVN iPedia英語版へ登録した脆弱性対策情報は下表の通り、累計で2,447件になりました。

表1-1.2022年第2四半期の登録件数
  情報の収集元 登録件数 累計件数
日本語版 国内製品開発者 0 264
JVN 171 11,331
NVD 2,154 132,212
2,325 143,807
英語版 国内製品開発者 0 259
JVN 33 2,188
33 2,447

図1-1. JVN iPediaの登録件数の四半期別推移


2. JVN iPediaの登録データ分類

2-1. 脆弱性の種類別件数

 図 2-1 は、2022 年第2 四半期(4 月~6 月)に JVN iPedia へ登録した脆弱性対策情報を、共通脆弱性タイプ一覧(CWE)によって分類し、件数を集計したものです。

 集計結果は件数が多い順に、CWE-79(クロスサイトスクリプティング)が285件、CWE-787(境界外書き込み)が103件、CWE-89(SQLインジェクション)が91件、CWE-416(解放済みメモリの使用)が90件、CWE-20(不適切な入力確認)が84件でした。最も件数の多かったCWE-79(クロスサイトスクリプティング)は、悪用されると偽のウェブページが表示されたり、情報が漏えいしたりするおそれがあります。

 製品開発者は、ソフトウェアの企画・設計段階から、脆弱性の低減に努めることが求められます。IPAではそのための資料やツールとして、開発者が実施すべき脆弱性対処をまとめた資料「脆弱性対処に向けた製品開発者向けガイド(*4)」、開発者や運営者がセキュリティを考慮したウェブサイトを作成するための資料「安全なウェブサイトの作り方 (*5)」や「IPAセキュア・プログラミング講座(*6)」、脆弱性の仕組みを実習形式や演習機能で学ぶことができる脆弱性体験学習ツール「AppGoat(*7)」などを公開しています。

2-2. 脆弱性に関する深刻度別割合

 図2-2はJVN iPediaに登録済みの脆弱性対策情報をCVSSv2の値に基づいて深刻度別に分類し、登録年別にその推移を示したものです。

 2022 年に JVN iPedia に登録した脆弱性対策情報は深刻度別に、レベルIIIが全体の 19.2%、レベルIIが 64.0%、レベルIが 16.8%となっており、情報の漏えいや改ざんされるような危険度が高い脅威であるレベル2以上が 83.2%を占めています。

 図2-3はJVN iPediaに登録済みの脆弱性対策情報をCVSSv3の値に基づいて深刻度別に分類し、登録年別にその推移を示したものです。

 2022年にJVN iPediaに登録した脆弱性対策情報は深刻度別に、「緊急」が全体の11.4%、「重要」が42.5%、「警告」が43.4%、「注意」が2.7%となっています。

 既知の脆弱性による脅威を回避するため、製品開発者は常日頃から新たに報告される脆弱性対策情報に注意を払うと共に、脆弱性が解消されている製品へのバージョンアップやアップデートなどを速やかに行ってください。

 なお、新たに登録したJVN iPediaの情報を、RSS形式やXML形式(*8) で公開しています。

2-3. 脆弱性対策情報を公開した製品の種類別件数

 図2-4はJVN iPediaに登録済みの脆弱性対策情報をソフトウェア製品の種類別に件数を集計し、年次でその推移を示したものです。2022年で最も多い種別は「アプリケーション」に関する脆弱性対策情報で、2022年の件数全件の約76.1%(4,644件/全6,105件)を占めています。

 図2-5は重要インフラなどで利用される、産業用制御システムに関する脆弱性対策情報の件数を集計し、年次でその推移を示したものです。これまでに累計で3,543件を登録しています。

2-4. 脆弱性対策情報の製品別登録状況

 表2-1は2022年第2四半期(4月~6月)にJVN iPediaへ登録された脆弱性対策情報の中で登録件数が多かった製品上位20件を示したものです。

 本四半期において最も登録件数が多かった製品は前四半期に引き続きクアルコム製品で、230件登録されました。これは2021年に公表された複数のクアルコム製品に関する脆弱性情報を多数登録したためです。また、2位から12位まではマイクロソフト社のWindows製品が並びました。

 JVN iPediaは、表に記載されている製品以外にも幅広い脆弱性対策情報を登録公開しています。製品の利用者や開発者は、自組織などで使用しているソフトウェアの脆弱性対策情報を迅速に入手し、効率的な対策に役立ててください(*9)

表2-1. 製品別JVN iPediaの脆弱性対策情報登録件数 上位20件 [2022年4月~2022年6月]
順位カテゴリ製品名(ベンダ名)登録件数
1 ファームウェア Qualcomm component (クアルコム) 230
2 OS Microsoft Windows Server (マイクロソフト) 180
3 OS Microsoft Windows Server 2022 (マイクロソフト) 179
4 OS Microsoft Windows Server 2019 (マイクロソフト) 176
5 OS Microsoft Windows Server 2016 (マイクロソフト) 163
6 OS Microsoft Windows 10 (マイクロソフト) 142
7 OS Microsoft Windows 11 (マイクロソフト) 136
8 OS Microsoft Windows Server 2012 (マイクロソフト) 131
9 OS Microsoft Windows 8.1 (マイクロソフト) 104
10 OS Microsoft Windows RT 8.1 (マイクロソフト) 102
11 OS Microsoft Windows Server 2008 (マイクロソフト) 96
12 OS Microsoft Windows 7 (マイクロソフト) 85
13 PDF閲覧・編集 Adobe Acrobat DC (アドビシステムズ) 78
13 PDF閲覧 Adobe Acrobat Reader DC (アドビシステムズ) 78
15 PDF閲覧・編集 Adobe Acrobat (アドビシステムズ) 71
16 OS Fedora (Fedora Project) 65
17 その他 Google TensorFlow (Google) 58
18 OS Debian GNU/Linux (Debian) 51
19 その他 Teamcenter Visualization (シーメンス) 45
19 その他 JT2Go (シーメンス) 45

3. 脆弱性対策情報の活用状況

 表3-1 は2022 年第2 四半期(4 月~6 月)にアクセスの多かったJVN iPedia の脆弱性対策情報の上位20 件を示したものです。

 本四半期は、2022 年3 月31 日に公表されSpring4Shell の名称で非常に注目されたSpring Framework の脆弱性対策情報が1 位となりました。また、上位20 件中19 件が脆弱性対策情報ポータルサイトJVN で公開された脆弱性対策情報でした。

表3-1.JVN iPediaの脆弱性対策情報へのアクセス 上位20件 [2022年4月~2022年6月]
順位IDタイトルCVSSv2
基本値
CVSSv3
基本値
公開日アクセス数
1 JVNDB-2022-001498 Spring Framework における不適切なデータバインディング処理による任意コード実行の脆弱性 - - 2022/4/5 9,671
2 JVNDB-2022-000030 FUJITSU Network IPCOM の運用管理インタフェースにおける複数の脆弱性 10.0 9.8 2022/5/9 8,870
3 JVNDB-2022-000023 WordPress 用プラグイン Advanced Custom Fields における認証欠如の脆弱性 4.0 6.5 2022/3/30 7,785
4 JVNDB-2022-001494 Trend Micro Apex Central および Trend Micro Apex Central as a Service におけるファイルコンテンツの検証不備の脆弱性 - 8.6 2022/3/30 6,864
5 JVNDB-2022-000024 ぜろちゃんねるプラスにおけるクロスサイトスクリプティングの脆弱性 4.3 6.1 2022/3/30 6,816
6 JVNDB-2022-000022 アタッシェケースにおける DLL 読み込みに関する脆弱性 6.8 7.8 2022/3/30 6,781
7 JVNDB-2022-001526 トレンドマイクロ製ウイルスバスター for Mac における権限昇格の脆弱性 - - 2022/4/7 6,443
8 JVNDB-2022-000027 AssetView における重要な機能に対する認証の欠如の脆弱性 9.3 9.0 2022/4/22 6,104
9 JVNDB-2022-001479 Apache HTTP Server における HTTP リクエストスマグリングに関する脆弱性 7.5 9.8 2022/3/23 6,074
10 JVNDB-2022-000026 WordPress 用プラグイン「MicroPayments - Paid Author Subscriptions, Content, Downloads, Membership」におけるクロスサイトリクエストフォージェリの脆弱性 2.6 4.3 2022/4/15 6,072
11 JVNDB-2022-000021 キングソフト製「WPS Office」および「KINGSOFT Internet Security」における複数の脆弱性 6.8 8.8 2022/3/16 5,447
12 JVNDB-2022-001477 Netcommunity OG410X および OG810X シリーズにおける OS コマンドインジェクションの脆弱性 - 8.0 2022/3/23 5,274
13 JVNDB-2021-000097 CLUSTERPRO X および EXPRESSCLUSTER X における複数の脆弱性 10.0 9.8 2021/10/29 5,248
14 JVNDB-2022-000020 pfSense における複数の脆弱性 9.0 7.2 2022/3/15 5,100
15 JVNDB-2021-004912 エレコム製ルータにおける複数の脆弱性 - 8.8 2021/12/2 4,965
16 JVNDB-2014-007972 OpenKM におけるクロスサイトスクリプティングの脆弱性 3.5 - 2015/3/13 4,924
17 JVNDB-2022-000008 i-FILTER における失効したサーバ証明書の検証不備の脆弱性 4.0 4.8 2022/3/4 4,805
18 JVNDB-2022-001384 オムロン製 CX-Programmer における複数の脆弱性 - 7.8 2022/3/7 4,626
19 JVNDB-2022-000016 UNIVERGE WA シリーズにおける OS コマンドインジェクションの脆弱性 5.8 8.8 2022/3/10 4,507
20 JVNDB-2022-000014 a-blog cms における複数の脆弱性 6.8 5.6 2022/2/18 4,488

 表3-2は国内の製品開発者から収集した脆弱性対策情報でアクセスの多かった上位5件を示しています。

表3-2.国内の製品開発者から収集した脆弱性対策情報へのアクセス 上位5件[2022年4月~2022年6月]
順位IDタイトルCVSSv2
基本値
CVSSv3
基本値
公開日アクセス数
1 JVNDB-2022-001382 Hitachi Command Suite 製品におけるファイルパーミッションの脆弱性 - - 2022/3/7 4,441
2 JVNDB-2022-001383 Hitachi Ops Center Viewpoint におけるディレクトリパーミッションの脆弱性 - - 2022/3/7 4,394
3 JVNDB-2022-001299 JP1/IT Desktop Management 2 におけるクロスサイトスクリプティングの脆弱性 - - 2022/2/8 4,310
4 JVNDB-2021-003660 Hitachi Device Manager における認証バイパスの脆弱性 - - 2021/11/1 4,225
5 JVNDB-2021-002810 Hitachi Tuning Manager、Hitachi Infrastructure Analytics Advisor および Hitachi Ops Center Analyzer における情報露出の脆弱性 - - 2021/10/5 4,204

注1) CVSSv2基本値の深刻度による色分け

CVSS基本値 = 0.0~3.9
深刻度=レベルI(注意)
CVSS基本値 = 4.0~6.9
深刻度=レベルII(警告)
CVSS基本値 = 7.0~10.0
深刻度=レベルIII(危険)

注2) CVSSv3基本値の深刻度による色分け

CVSS基本値 = 0.1~3.9
深刻度=注意
CVSS基本値 = 4.0~6.9
深刻度=警告
CVSS基本値 = 7.0~8.9
深刻度=重要
CVSS基本値 = 9.0~10.0
深刻度=緊急

注3) 公開日の年による色分け

2020年以前の公開 2021年の公開 2022年の公開

脚注

(*1) Japan Vulnerability Notes:脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
https://jvn.jp/別ウィンドウで開く

(*2) National Institute of Standards and Technology:米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
https://www.nist.gov/別ウィンドウで開く

(*3) National Vulnerability Database:NISTが運営する脆弱性データベース。
https://nvd.nist.gov別ウィンドウで開く

(*4) IPA:「脆弱性対処に向けた製品開発者向けガイド」
https://www.ipa.go.jp/security/vuln/report/notice/guideforvendor.html

(*5) IPA:「安全なウェブサイトの作り方」
https://www.ipa.go.jp/security/vuln/websecurity.html

(*6) IPA:「IPA セキュア・プログラミング講座」
https://www.ipa.go.jp/security/awareness/vendor/programming/

(*7) IPA:「脆弱性体験学習ツール AppGoat」
https://www.ipa.go.jp/security/vuln/appgoat/

(*8) IPA:「JVN iPedia データフィード」
https://jvndb.jvn.jp/ja/feed/

(*9) IPA:「脆弱性対策の効果的な進め方(実践編)」
https://www.ipa.go.jp/security/technicalwatch/20150331.html

資料のダウンロード

参考情報

アンケートのお願い

まもるくんからのお願い  よろしければ今後のサービス向上を図るため、「脆弱性対策情報データベースJVN iPediaの登録状況 [2022年第2四半期(4~6月)]」に関するアンケートにご協力ください。

アンケート画面へ

本件に関するお問い合わせ先

IPA セキュリティセンター 大友/亀山
E-mail: