1. 2022年第3四半期 脆弱性対策情報データベースJVN iPediaの登録状況
脆弱性対策情報データベースJVN iPediaは、ソフトウェア製品に関する脆弱性対策情報を2007年4月25日から日本語で公開しています。システム管理者が迅速に脆弱性対策を行えるよう、1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情報ポータルサイトJVN(注釈1)で公表した脆弱性対策情報、3)米国国立標準技術研究所NIST(注釈2)の脆弱性データベースNVD(注釈3)が公開した脆弱性対策情報を集約、翻訳しています。
1-1. 脆弱性対策情報の登録状況
脆弱性対策情報の登録件数の累計は148,266件
2022年第3四半期(2022年7月1日から9月30日まで)にJVN iPedia日本語版へ登録した脆弱性対策情報は下表の通りとなり、2007年4月25日にJVN iPediaの公開を開始してから本四半期までの、脆弱性対策情報の登録件数の累計は148,266件になりました(表1-1、図1-1)。
また、JVN iPedia英語版へ登録した脆弱性対策情報は下表の通り、累計で2,483件になりました。
情報の収集元 | 登録件数 | 累計件数 | |
---|---|---|---|
日本語版 | 国内製品開発者 | 2件 | 266件 |
JVN | 305件 | 11,654件 | |
NVD | 4,152件 | 136,346件 | |
計 | 4,459件 | 148,266件 | |
英語版 | 国内製品開発者 | 2件 | 261件 |
JVN | 34件 | 2,222件 | |
計 | 36件 | 2,483件 |
2. JVN iPediaの登録データ分類
2-1. 脆弱性の種類別件数
図2-1は、2022年第3四半期(7月~9月)にJVN iPediaへ登録した脆弱性対策情報を、共通脆弱性タイプ一覧(CWE)によって分類し、件数を集計したものです。
集計結果は件数が多い順に、CWE-79(クロスサイトスクリプティング)が678件、CWE-787(境界外書き込み)が336件、CWE-125(境界外読み取り)が192件、CWE-89(SQLインジェクション)が169件、CWE-22(パス・トラバーサル)が120件でした。最も件数の多かったCWE-79(クロスサイトスクリプティング)は、悪用されると偽のウェブページが表示されたり、情報が漏えいしたりするおそれがあります。
製品開発者は、ソフトウェアの企画・設計段階から、脆弱性の低減に努めることが求められます。IPAではそのための資料やツールとして、開発者が実施すべき脆弱性対処をまとめた資料「脆弱性対処に向けた製品開発者向けガイド(注釈4)」、開発者や運営者がセキュリティを考慮したウェブサイトを作成するための資料「安全なウェブサイトの作り方 (注釈5)」や「IPAセキュア・プログラミング講座(注釈6)」、脆弱性の仕組みを実習形式や演習機能で学ぶことができる脆弱性体験学習ツール「AppGoat(注釈7)」などを公開しています。
2-2. 脆弱性に関する深刻度別割合
図2-2はJVN iPediaに登録済みの脆弱性対策情報をCVSSv2の値に基づいて深刻度別に分類し、登録年別にその推移を示したものです。
2022年にJVN iPediaに登録した脆弱性対策情報は深刻度別に、レベル3が全体の19.1%、レベル2が64.7%、レベル1が16.2%となっており、情報の漏えいや改ざんされるような危険度が高い脅威であるレベル2以上が83.8%を占めています。
図2-3はJVN iPediaに登録済みの脆弱性対策情報をCVSSv3の値に基づいて深刻度別に分類し、登録年別にその推移を示したものです。
2022年にJVN iPediaに登録した脆弱性対策情報は深刻度別に、緊急が全体の11.5%、重要が42.4%、警告が43.6%、注意が2.4%となっています。
既知の脆弱性による脅威を回避するため、製品開発者は常日頃から新たに報告される脆弱性対策情報に注意を払うと共に、脆弱性が解消されている製品へのバージョンアップやアップデートなどを速やかに行ってください。
なお、新たに登録したJVN iPediaの情報を、RSS形式やXML形式(注釈8) で公開しています。
2-3. 脆弱性対策情報を公開した製品の種類別件数
図2-4はJVN iPediaに登録済みの脆弱性対策情報をソフトウェア製品の種類別に件数を集計し、年次でその推移を示したものです。2022年で最も多い種別はアプリケーションに関する脆弱性対策情報で、2022年の件数全件の約73.8%(7,793件/全10,564件)を占めています。
図2-5は重要インフラなどで利用される、産業用制御システムに関する脆弱性対策情報の件数を集計し、年次でその推移を示したものです。これまでに累計で3,747件を登録しています。
2-4. 脆弱性対策情報の製品別登録状況
表2-1は2022年第3四半期(7月~9月)にJVN iPediaへ登録された脆弱性対策情報の中で登録件数が多かった製品上位20件を示したものです。
本四半期において最も登録件数が多かった製品は前四半期に引き続きクアルコム製品で、680件登録されました。これは2021年に公表された複数のクアルコム製品に関する脆弱性情報を多数登録したためです。また、2位から20位まではアップル社、マイクロソフト社などのOSが占めました。
JVN iPediaは、表に記載されている製品以外にも幅広い脆弱性対策情報を登録公開しています。製品の利用者や開発者は、自組織などで使用しているソフトウェアの脆弱性対策情報を迅速に入手し、効率的な対策に役立ててください(注釈9)。
順位 | カテゴリ | 製品名(ベンダ名) | 登録件数 |
---|---|---|---|
1 | ファームウェア | Qualcomm component (クアルコム) | 680 |
2 | OS | macOS (アップル) | 276 |
3 | OS | iOS (アップル) | 248 |
4 | OS | Apple Mac OS X (アップル) | 228 |
5 | OS | iPadOS (アップル) | 224 |
6 | OS | Fedora (Fedora Project) | 200 |
7 | OS | Debian GNU/Linux (Debian) | 188 |
8 | OS | watchOS (アップル) | 170 |
9 | OS | tvOS (アップル) | 166 |
10 | OS | Microsoft Windows Server 2022 (マイクロソフト) | 128 |
11 | OS | Microsoft Windows Server 2019 (マイクロソフト) | 125 |
12 | OS | Android (Google) | 121 |
13 | OS | Microsoft Windows 10 (マイクロソフト) | 120 |
14 | OS | Microsoft Windows Server 2016 (マイクロソフト) | 118 |
15 | OS | Microsoft Windows 11 (マイクロソフト) | 116 |
16 | OS | Microsoft Windows Server 2012 (マイクロソフト) | 95 |
17 | OS | Microsoft Windows Server 2008 (マイクロソフト) | 89 |
18 | OS | Microsoft Windows 8.1 (マイクロソフト) | 88 |
19 | OS | Microsoft Windows RT 8.1 (マイクロソフト) | 85 |
20 | OS | Microsoft Windows Server (マイクロソフト) | 84 |
3. 脆弱性対策情報の活用状況
表3-1は2022年第3四半期(7月~9月)にアクセスの多かったJVN iPediaの脆弱性対策情報の上位20件を示したものです。
本四半期は、ランクインしたすべての脆弱性対策情報が今年度に公開されたものでした。また、20件中13件がMicrosoft 製品に関連した脆弱性でした。
順位 | ID | タイトル | CVSSv2 基本値 |
CVSSv3 基本値 |
公開日 | アクセス数 |
---|---|---|---|---|---|---|
1 | JVNDB-2022-000050 | LiteCart におけるクロスサイトスクリプティングの脆弱性 | 2.6 | 6.1 | 2022年 7月4日 |
6,617 |
2 | JVNDB-2022-000051 | サイボウズ Garoon に複数の脆弱性 | 5.5 | 5.4 | 2022年 7月4日 |
5,932 |
3 | JVNDB-2022-000052 | Passage Drive におけるデータ検証不備の脆弱性 | 9.3 | 8.6 | 2022年 7月8日 |
5,620 |
4 | JVNDB-2022-000053 | Django の Extract 関数および Trunc 関数における SQL インジェクションの脆弱性 | 7.5 | 7.3 | 2022年 7月12日 |
5,615 |
5 | JVNDB-2022-001978 | Microsoft Windows Server におけるリモートでコードを実行される脆弱性 | 10.0 | 9.8 | 2022年 6月30日 |
5,589 |
6 | JVNDB-2022-002004 | 複数の Microsoft Windows 製品におけるリモートでコードを実行される脆弱性 | 6.8 | 8.8 | 2022年 6月30日 |
5,282 |
7 | JVNDB-2022-002017 | U-Boot の squashfs ファイルシステム実装にヒープベースのバッファオーバーフローの脆弱性 | - | 6.6 | 2022年 7月14日 |
5,256 |
8 | JVNDB-2022-002003 | 複数の Microsoft Windows 製品におけるサービス運用妨害 (DoS) の脆弱性 | 5.0 | 7.5 | 2022年 6月30日 |
5,251 |
9 | JVNDB-2022-002006 | 複数の Microsoft Windows 製品におけるサービス運用妨害 (DoS) の脆弱性 | 7.1 | 5.5 | 2022年 6月30日 |
5,249 |
10 | JVNDB-2022-000049 | HOME SPOT CUBE2 における OS コマンドインジェクションの脆弱性 | 5.8 | 8.8 | 2022年 6月29日 |
5,202 |
11 | JVNDB-2022-002007 | Microsoft Windows Server における権限を昇格される脆弱性 | 2.1 | 5.3 | 2022年 6月30日 |
5,198 |
12 | JVNDB-2022-001999 | 複数の Microsoft Windows 製品におけるリモートでコードを実行される脆弱性 | 5.1 | 7.5 | 2022年 6月30日 |
5,157 |
12 | JVNDB-2022-002000 | 複数の Microsoft Windows 製品における権限を昇格される脆弱性 | 7.2 | 7.8 | 2022年 6月30日 |
5,157 |
14 | JVNDB-2022-001997 | 複数の Microsoft Windows 製品におけるリモートでコードを実行される脆弱性 | 5.1 | 7.5 | 2022年 6月30日 |
5,150 |
15 | JVNDB-2022-001974 | Microsoft SQL Server におけるリモートでコードを実行される脆弱性 | 6.0 | 7.5 | 2022年 6月30日 |
5,140 |
16 | JVNDB-2022-002002 | 複数の Microsoft Windows 製品における権限を昇格される脆弱性 | 4.4 | 7.0 | 2022年 6月30日 |
5,132 |
17 | JVNDB-2022-002001 | 複数の Microsoft Windows 製品における権限を昇格される脆弱性 | 6.8 | 8.1 | 2022年 6月30日 |
5,125 |
18 | JVNDB-2022-001998 | 複数の Microsoft Windows 製品におけるリモートでコードを実行される脆弱性 | 6.0 | 8.1 | 2022年 6月30日 |
5,122 |
19 | JVNDB-2022-002005 | Microsoft SharePoint Server におけるリモートでコードを実行される脆弱性 | 6.5 | 8.8 | 2022年 6月30日 |
5,082 |
20 | JVNDB-2021-010460 | FreeRDP における入力確認に関する脆弱性 | 7.5 | 9.8 | 2022年 7月1日 |
5,065 |
表3-2は国内の製品開発者から収集した脆弱性対策情報でアクセスの多かった上位5件を示しています。
順位 | ID | タイトル | CVSSv2 基本値 |
CVSSv3 基本値 |
公開日 | アクセス数 |
---|---|---|---|---|---|---|
1 | JVNDB-2022-002143 | Hitachi Automation Director および Hitachi Ops Center Automator における情報露出の脆弱性 | - | - | 2022年 8月1日 |
3,657 |
2 | JVNDB-2022-001299 | JP1/IT Desktop Management 2 におけるクロスサイトスクリプティングの脆弱性 | - | - | 2022年 2月8日 |
3,516 |
3 | JVNDB-2022-001382 | Hitachi Command Suite 製品におけるファイルパーミッションの脆弱性 | - | - | 2022年 3月7日 |
3,430 |
4 | JVNDB-2022-001383 | Hitachi Ops Center Viewpoint におけるディレクトリパーミッションの脆弱性 | - | - | 2022年 3月7日 |
3,402 |
5 | JVNDB-2021-004432 | JP1/Automatic Operation における複数の脆弱性 | - | - | 2021年 11月22日 |
3,366 |
注1) CVSSv2基本値の深刻度による色分け
CVSS基本値 = 0.0~3.9 深刻度=レベル1(注意) |
CVSS基本値 = 4.0~6.9 深刻度=レベル2(警告) |
CVSS基本値 = 7.0~10.0 深刻度=レベル3(危険) |
注2) CVSSv3基本値の深刻度による色分け
CVSS基本値 = 0.1~3.9 深刻度=注意 |
CVSS基本値 = 4.0~6.9 深刻度=警告 |
CVSS基本値 = 7.0~8.9 深刻度=重要 |
CVSS基本値 = 9.0~10.0 深刻度=緊急 |
注3) 公開日の年による色分け
2020年以前の公開 | 2021年の公開 | 2022年の公開 |
脚注
(注釈1) Japan Vulnerability Notes:脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CC(ジェイピーサート シーシー)が共同で運営しています。
(注釈2) National Institute of Standards and Technology:米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
(注釈3) National Vulnerability Database:NISTが運営する脆弱性データベース。
(注釈4) IPA:「脆弱性対処に向けた製品開発者向けガイド」
(注釈5) IPA:「安全なウェブサイトの作り方」
(注釈6) IPA:「IPA セキュア・プログラミング講座」
(注釈7) IPA:「脆弱性体験学習ツール AppGoat」
(注釈8) IPA:「JVN iPedia データフィード」
(注釈9) IPA:「脆弱性対策の効果的な進め方(実践編)」
資料のダウンロード
- 脆弱性対策情報データベースJVN iPediaに関する活動報告レポート
(PDFファイル 445KB)
参考情報
本件に関するお問い合わせ先
IPA セキュリティセンター 大友/亀山
E-mail: