HOME情報セキュリティ脆弱性対策情報脆弱性対策情報データベースJVN iPediaの登録状況 2022年第3四半期(7月~9月)

本文を印刷する

情報セキュリティ

脆弱性対策情報データベースJVN iPediaの登録状況 2022年第3四半期(7月~9月)

独立行政法人情報処理推進機構
最終更新日:2022年10月27日

1. 2022年第3四半期 脆弱性対策情報データベースJVN iPediaの登録状況

 脆弱性対策情報データベースJVN iPediaは、ソフトウェア製品に関する脆弱性対策情報を2007年4月25日から日本語で公開しています。システム管理者が迅速に脆弱性対策を行えるよう、1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情報ポータルサイトJVN(注釈1)で公表した脆弱性対策情報、3)米国国立標準技術研究所NIST(注釈2)の脆弱性データベースNVD(注釈3)が公開した脆弱性対策情報を集約、翻訳しています。

1-1. 脆弱性対策情報の登録状況

脆弱性対策情報の登録件数の累計は148,266件

 2022年第3四半期(2022年7月1日から9月30日まで)にJVN iPedia日本語版へ登録した脆弱性対策情報は下表の通りとなり、2007年4月25日にJVN iPediaの公開を開始してから本四半期までの、脆弱性対策情報の登録件数の累計は148,266件になりました(表1-1、図1-1)。
 また、JVN iPedia英語版へ登録した脆弱性対策情報は下表の通り、累計で2,483件になりました。

表1-1.2022年第3四半期の登録件数
  情報の収集元 登録件数 累計件数
日本語版 国内製品開発者 2 266
JVN 305 11,654
NVD 4,152 136,346
4,459 148,266
英語版 国内製品開発者 2 261
JVN 34 2,222
36 2,483

図1-1 JVN iPediaの登録件数の四半期別推移


2. JVN iPediaの登録データ分類

2-1. 脆弱性の種類別件数

 図2-1は、2022年第3四半期(7月~9月)にJVN iPediaへ登録した脆弱性対策情報を、共通脆弱性タイプ一覧(CWE)によって分類し、件数を集計したものです。

 集計結果は件数が多い順に、CWE-79(クロスサイトスクリプティング)が678件、CWE-787(境界外書き込み)が336件、CWE-125(境界外読み取り)が192件、CWE-89(SQLインジェクション)が169件、CWE-22(パス・トラバーサル)が120件でした。最も件数の多かったCWE-79(クロスサイトスクリプティング)は、悪用されると偽のウェブページが表示されたり、情報が漏えいしたりするおそれがあります。

 製品開発者は、ソフトウェアの企画・設計段階から、脆弱性の低減に努めることが求められます。IPAではそのための資料やツールとして、開発者が実施すべき脆弱性対処をまとめた資料「脆弱性対処に向けた製品開発者向けガイド(注釈4)」、開発者や運営者がセキュリティを考慮したウェブサイトを作成するための資料「安全なウェブサイトの作り方 (注釈5)」や「IPAセキュア・プログラミング講座(注釈6)」、脆弱性の仕組みを実習形式や演習機能で学ぶことができる脆弱性体験学習ツール「AppGoat(注釈7)」などを公開しています。

図2-1 2022年第3四半期に登録された脆弱性の種類

2-2. 脆弱性に関する深刻度別割合

 図2-2はJVN iPediaに登録済みの脆弱性対策情報をCVSSv2の値に基づいて深刻度別に分類し、登録年別にその推移を示したものです。

 2022年にJVN iPediaに登録した脆弱性対策情報は深刻度別に、レベル3が全体の19.1%、レベル2が64.7%、レベル1が16.2%となっており、情報の漏えいや改ざんされるような危険度が高い脅威であるレベル2以上が83.8%を占めています。

図2-2 脆弱性の深刻度別件数(CVSSv2)

 図2-3はJVN iPediaに登録済みの脆弱性対策情報をCVSSv3の値に基づいて深刻度別に分類し、登録年別にその推移を示したものです。

 2022年にJVN iPediaに登録した脆弱性対策情報は深刻度別に、緊急が全体の11.5%、重要が42.4%、警告が43.6%、注意が2.4%となっています。

図2-3 脆弱性の深刻度別件数(CVSSv3)

 既知の脆弱性による脅威を回避するため、製品開発者は常日頃から新たに報告される脆弱性対策情報に注意を払うと共に、脆弱性が解消されている製品へのバージョンアップやアップデートなどを速やかに行ってください。

 なお、新たに登録したJVN iPediaの情報を、RSS形式やXML形式(注釈8) で公開しています。

2-3. 脆弱性対策情報を公開した製品の種類別件数

 図2-4はJVN iPediaに登録済みの脆弱性対策情報をソフトウェア製品の種類別に件数を集計し、年次でその推移を示したものです。2022年で最も多い種別はアプリケーションに関する脆弱性対策情報で、2022年の件数全件の約73.8%(7,793件/全10,564件)を占めています。

図2-4 脆弱性対策情報を公表した製品の種類別件数の公開年別推移

 図2-5は重要インフラなどで利用される、産業用制御システムに関する脆弱性対策情報の件数を集計し、年次でその推移を示したものです。これまでに累計で3,747件を登録しています。

図2-5 JVN iPedia登録件数(産業用制御システムのみ抽出)

2-4. 脆弱性対策情報の製品別登録状況

 表2-1は2022年第3四半期(7月~9月)にJVN iPediaへ登録された脆弱性対策情報の中で登録件数が多かった製品上位20件を示したものです。

 本四半期において最も登録件数が多かった製品は前四半期に引き続きクアルコム製品で、680件登録されました。これは2021年に公表された複数のクアルコム製品に関する脆弱性情報を多数登録したためです。また、2位から20位まではアップル社、マイクロソフト社などのOSが占めました。

 JVN iPediaは、表に記載されている製品以外にも幅広い脆弱性対策情報を登録公開しています。製品の利用者や開発者は、自組織などで使用しているソフトウェアの脆弱性対策情報を迅速に入手し、効率的な対策に役立ててください(注釈9)

表2-1. 製品別JVN iPediaの脆弱性対策情報登録件数 上位20件(2022年7月~2022年9月)
順位 カテゴリ 製品名(ベンダ名) 登録件数
1 ファームウェア Qualcomm component (クアルコム) 680
2 OS macOS (アップル) 276
3 OS iOS (アップル) 248
4 OS Apple Mac OS X (アップル) 228
5 OS iPadOS (アップル) 224
6 OS Fedora (Fedora Project) 200
7 OS Debian GNU/Linux (Debian) 188
8 OS watchOS (アップル) 170
9 OS tvOS (アップル) 166
10 OS Microsoft Windows Server 2022 (マイクロソフト) 128
11 OS Microsoft Windows Server 2019 (マイクロソフト) 125
12 OS Android (Google) 121
13 OS Microsoft Windows 10 (マイクロソフト) 120
14 OS Microsoft Windows Server 2016 (マイクロソフト) 118
15 OS Microsoft Windows 11 (マイクロソフト) 116
16 OS Microsoft Windows Server 2012 (マイクロソフト) 95
17 OS Microsoft Windows Server 2008 (マイクロソフト) 89
18 OS Microsoft Windows 8.1 (マイクロソフト) 88
19 OS Microsoft Windows RT 8.1 (マイクロソフト) 85
20 OS Microsoft Windows Server (マイクロソフト) 84

3. 脆弱性対策情報の活用状況

 表3-1は2022年第3四半期(7月~9月)にアクセスの多かったJVN iPediaの脆弱性対策情報の上位20件を示したものです。

 本四半期は、ランクインしたすべての脆弱性対策情報が今年度に公開されたものでした。また、20件中13件がMicrosoft 製品に関連した脆弱性でした。

表3-1.JVN iPediaの脆弱性対策情報へのアクセス 上位20件(2022年7月~2022年9月)
順位 ID タイトル CVSSv2
基本値
CVSSv3
基本値
公開日 アクセス数
1 JVNDB-2022-000050 LiteCart におけるクロスサイトスクリプティングの脆弱性 2.6 6.1 2022年
7月4日
6,617
2 JVNDB-2022-000051 サイボウズ Garoon に複数の脆弱性 5.5 5.4 2022年
7月4日
5,932
3 JVNDB-2022-000052 Passage Drive におけるデータ検証不備の脆弱性 9.3 8.6 2022年
7月8日
5,620
4 JVNDB-2022-000053 Django の Extract 関数および Trunc 関数における SQL インジェクションの脆弱性 7.5 7.3 2022年
7月12日
5,615
5 JVNDB-2022-001978 Microsoft Windows Server におけるリモートでコードを実行される脆弱性 10.0 9.8 2022年
6月30日
5,589
6 JVNDB-2022-002004 複数の Microsoft Windows 製品におけるリモートでコードを実行される脆弱性 6.8 8.8 2022年
6月30日
5,282
7 JVNDB-2022-002017 U-Boot の squashfs ファイルシステム実装にヒープベースのバッファオーバーフローの脆弱性 - 6.6 2022年
7月14日
5,256
8 JVNDB-2022-002003 複数の Microsoft Windows 製品におけるサービス運用妨害 (DoS) の脆弱性 5.0 7.5 2022年
6月30日
5,251
9 JVNDB-2022-002006 複数の Microsoft Windows 製品におけるサービス運用妨害 (DoS) の脆弱性 7.1 5.5 2022年
6月30日
5,249
10 JVNDB-2022-000049 HOME SPOT CUBE2 における OS コマンドインジェクションの脆弱性 5.8 8.8 2022年
6月29日
5,202
11 JVNDB-2022-002007 Microsoft Windows Server における権限を昇格される脆弱性 2.1 5.3 2022年
6月30日
5,198
12 JVNDB-2022-001999 複数の Microsoft Windows 製品におけるリモートでコードを実行される脆弱性 5.1 7.5 2022年
6月30日
5,157
12 JVNDB-2022-002000 複数の Microsoft Windows 製品における権限を昇格される脆弱性 7.2 7.8 2022年
6月30日
5,157
14 JVNDB-2022-001997 複数の Microsoft Windows 製品におけるリモートでコードを実行される脆弱性 5.1 7.5 2022年
6月30日
5,150
15 JVNDB-2022-001974 Microsoft SQL Server におけるリモートでコードを実行される脆弱性 6.0 7.5 2022年
6月30日
5,140
16 JVNDB-2022-002002 複数の Microsoft Windows 製品における権限を昇格される脆弱性 4.4 7.0 2022年
6月30日
5,132
17 JVNDB-2022-002001 複数の Microsoft Windows 製品における権限を昇格される脆弱性 6.8 8.1 2022年
6月30日
5,125
18 JVNDB-2022-001998 複数の Microsoft Windows 製品におけるリモートでコードを実行される脆弱性 6.0 8.1 2022年
6月30日
5,122
19 JVNDB-2022-002005 Microsoft SharePoint Server におけるリモートでコードを実行される脆弱性 6.5 8.8 2022年
6月30日
5,082
20 JVNDB-2021-010460 FreeRDP における入力確認に関する脆弱性 7.5 9.8 2022年
7月1日
5,065

 表3-2は国内の製品開発者から収集した脆弱性対策情報でアクセスの多かった上位5件を示しています。

表3-2.国内の製品開発者から収集した脆弱性対策情報へのアクセス 上位5件(2022年7月~2022年9月)
順位 ID タイトル CVSSv2
基本値
CVSSv3
基本値
公開日 アクセス数
1 JVNDB-2022-002143 Hitachi Automation Director および Hitachi Ops Center Automator における情報露出の脆弱性 - - 2022年
8月1日
3,657
2 JVNDB-2022-001299 JP1/IT Desktop Management 2 におけるクロスサイトスクリプティングの脆弱性 - - 2022年
2月8日
3,516
3 JVNDB-2022-001382 Hitachi Command Suite 製品におけるファイルパーミッションの脆弱性 - - 2022年
3月7日
3,430
4 JVNDB-2022-001383 Hitachi Ops Center Viewpoint におけるディレクトリパーミッションの脆弱性 - - 2022年
3月7日
3,402
5 JVNDB-2021-004432 JP1/Automatic Operation における複数の脆弱性 - - 2021年
11月22日
3,366

注1) CVSSv2基本値の深刻度による色分け

CVSS基本値 = 0.0~3.9
深刻度=レベル1(注意)
CVSS基本値 = 4.0~6.9
深刻度=レベル2(警告)
CVSS基本値 = 7.0~10.0
深刻度=レベル3(危険)

注2) CVSSv3基本値の深刻度による色分け

CVSS基本値 = 0.1~3.9
深刻度=注意
CVSS基本値 = 4.0~6.9
深刻度=警告
CVSS基本値 = 7.0~8.9
深刻度=重要
CVSS基本値 = 9.0~10.0
深刻度=緊急

注3) 公開日の年による色分け

2020年以前の公開 2021年の公開 2022年の公開

脚注

(注釈1) Japan Vulnerability Notes別ウィンドウで開く:脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CC(ジェイピーサート シーシー)が共同で運営しています。

(注釈2) National Institute of Standards and Technology別ウィンドウで開く:米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。

(注釈3) National Vulnerability Database別ウィンドウで開く:NISTが運営する脆弱性データベース。

(注釈4) IPA:「脆弱性対処に向けた製品開発者向けガイド

(注釈5) IPA:「安全なウェブサイトの作り方

(注釈6) IPA:「IPA セキュア・プログラミング講座

(注釈7) IPA:「脆弱性体験学習ツール AppGoat

(注釈8) IPA:「JVN iPedia データフィード

(注釈9) IPA:「脆弱性対策の効果的な進め方(実践編)

資料のダウンロード

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター 大友/亀山
E-mail: isec-jvndb@ipa.go.jp