脆弱性対策情報データベースJVN iPediaの登録状況 [2021年第3四半期(7月〜9月)]

最終更新日:2021年10月20日

独立行政法人情報処理推進機構

1. 2021年第3四半期脆弱性対策情報データベース JVN iPediaの登録状況

脆弱性対策情報データベース「JVN iPedia」は、ソフトウェア製品に関する脆弱性対策情報を2007年4月25日から日本語で公開しています。システム管理者が迅速に脆弱性対策を行えるよう、1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情報ポータルサイトJVN(*1)で公表した脆弱性対策情報、3)米国国立標準技術研究所NIST(*2)の脆弱性データベース「NVD(*3)」が公開した脆弱性対策情報を集約、翻訳しています。

1-1. 脆弱性対策情報の登録状況

〜脆弱性対策情報の登録件数の累計は133,026件〜

2021年第3四半期(2021年7月1日から9月30日まで)にJVN iPedia日本語版へ登録した脆弱性対策情報は右表の通りとなり、2007年4月25日にJVN iPediaの公開を開始してから本四半期までの脆弱性対策情報の登録件数の累計は133,026件になりました(表1-1、図1-1)。
また、JVN iPedia英語版へ登録した脆弱性対策情報は右表の通り、累計で2,337件になりました。

表1-1.2021年第3四半期の登録件数

	情報の収集元	登録件数	累計件数
日本語版	国内製品開発者	0 件	256 件
	JVN	264 件	10,415 件
	NVD	2,938 件	122,355 件
	計	3,202 件	133,026 件
英語版	国内製品開発者	0 件	251 件
	JVN	36 件	2,086 件
	計	36 件	2,337 件

図1-1. JVN iPediaの登録件数の四半期別推移

2. JVN iPediaの登録データ分類

2-1. 脆弱性の種類別件数

図2-1は、2021年第3四半期(7月〜9月)にJVN iPediaへ登録した脆弱性対策情報を、共通脆弱性タイプ一覧(CWE)によって分類し、件数を集計したものです。

集計結果は件数が多い順に、CWE-79(クロスサイトスクリプティング)が364件、CWE-787(境界外書き込み)が217件、CWE-269(不適切な権限管理)が161件、CWE-416(解放済みメモリの使用)が92件、CWE-125(境界外読み取り)が91件でした。
最も件数の多かったCWE-79(クロスサイトスクリプティング)は、悪用されると偽のウェブページが表示されたり、情報が漏えいしたりするおそれがあります。

製品開発者は、ソフトウェアの企画・設計段階から、脆弱性の低減に努めることが求められます。IPAではそのための資料やツールとして、開発者が実施すべき脆弱性対処をまとめた資料「脆弱性対処に向けた製品開発者向けガイド(*4)」、開発者や運営者がセキュリティを考慮したウェブサイトを作成するための資料「安全なウェブサイトの作り方 (*5)」や「IPAセキュア・プログラミング講座(*6)」、脆弱性の仕組みを実習形式や演習機能で学ぶことができる脆弱性体験学習ツール「AppGoat(*7)」などを公開しています。

2-2. 脆弱性に関する深刻度別割合

図2-2はJVN iPediaに登録済みの脆弱性対策情報をCVSSv2の値に基づいて深刻度別に分類し、登録年別にその推移を示したものです。

2021年にJVN iPediaに登録した脆弱性対策情報は深刻度別に、レベルIIIが全体の22.1%、レベルIIが62.0%、レベルIが15.9%となっており、情報の漏えいや改ざんされるような危険度が高い脅威であるレベルII以上が84.1%を占めています。

図2-3はJVN iPediaに登録済みの脆弱性対策情報をCVSSv3の値に基づいて深刻度別に分類し、登録年別にその推移を示したものです。

2021年にJVN iPediaに登録した脆弱性対策情報は深刻度別に、「緊急」が全体の13.5%、「重要」が43.3%、「警告」が40.5%、「注意」が2.7%となっています。

既知の脆弱性による脅威を回避するため、製品開発者は常日頃から新たに報告される脆弱性対策情報に注意を払うと共に、脆弱性が解消されている製品へのバージョンアップやアップデートなどを速やかに行ってください。

なお、新たに登録したJVN iPediaの情報を、RSS形式やXML形式(*8) で公開しています。

2-3. 脆弱性対策情報を公開した製品の種類別件数

図2-4はJVN iPediaに登録済みの脆弱性対策情報をソフトウェア製品の種類別に件数を集計し、年次でその推移を示したものです。2021年で最も多い種別は「アプリケーション」に関する脆弱性対策情報で、2021年の件数全件の約70.6%(5,395件/全7,638件)を占めています。

図2-5は重要インフラなどで利用される、産業用制御システムに関する脆弱性対策情報の件数を集計し、年次でその推移を示したものです。これまでに累計で3,043件を登録しています。

2-4. 脆弱性対策情報の製品別登録状況

表2-1は2021年第3四半期(7月〜9月)にJVN iPediaへ登録された脆弱性対策情報の中で登録件数が多かった製品上位20件を示したものです。

本四半期において最も登録件数が多かった製品はMicrosoft Windows Server 2019で、160件登録されました。その他にもマイクロソフト社のWindows製品が多数登録されており、上位20件中9件と約半数を占めています。

JVN iPediaは、表に記載されている製品以外にも幅広い脆弱性対策情報を登録公開しています。製品の利用者や開発者は、自組織などで使用しているソフトウェアの脆弱性対策情報を迅速に入手し、効率的な対策に役立ててください(*9)。

表2-1. 製品別JVN iPediaの脆弱性対策情報登録件数上位20件 [2021年7月〜2021年9月]

順位	カテゴリ	製品名(ベンダ名)	登録件数
1	OS	Microsoft Windows Server 2019 (マイクロソフト)	160
2	OS	Microsoft Windows 10 (マイクロソフト)	158
3	OS	Microsoft Windows Server (マイクロソフト)	155
4	OS	Microsoft Windows Server 2016 (マイクロソフト)	132
5	OS	Android (Google)	121
6	OS	Debian GNU/Linux (Debian)	114
7	OS	Microsoft Windows Server 2012 (マイクロソフト)	113
8	OS	Microsoft Windows 8.1 (マイクロソフト)	101
8	OS	Microsoft Windows RT 8.1 (マイクロソフト)	101
10	OS	Fedora (Fedora Project)	98
11	OS	Microsoft Windows Server 2008 (マイクロソフト)	93
12	OS	Microsoft Windows 7 (マイクロソフト)	80
13	ファームウェア	RV130 VPN Router ファームウェア (シスコシステムズ)	74
13	ファームウェア	Cisco RV130W Wireless-N Multifunction VPN Router ファームウェア (シスコシステムズ)	74
15	ファームウェア	Cisco RV110W Wireless-N VPN Firewall ファームウェア (シスコシステムズ)	73
16	ファームウェア	RV215W Wireless-N VPN Router ファームウェア (シスコシステムズ)	59
17	プラットフォーム	Application Extension Platform (シスコシステムズ)	58
18	OS	Apple Mac OS X (アップル)	55
19	OS	iOS (アップル)	45
20	OS	iPadOS (アップル)	44

3. 脆弱性対策情報の活用状況

表3-1は2021年第3四半期(7月〜9月)にアクセスの多かったJVN iPediaの脆弱性対策情報の上位20件を示したものです。

本四半期は1位〜4位を2020年7月に公開されたWordPressの脆弱性対策情報が占めました。なお、これは特定の組織から機械的と思われる多くのアクセスがあったためです。また、上位20件中15件が脆弱性対策情報ポータルサイトJVNで公開された脆弱性対策情報でした。

評価基準

注1) CVSSv2基本値の深刻度による色分け

レベルI(注意)
- CVSS基本値 = 0.0〜3.9
レベルII(警告)
- CVSS基本値 = 4.0〜6.9
レベルIII(危険)
- CVSS基本値 = 7.0〜10.0

注2) CVSSv3基本値の深刻度による色分け

注意
- CVSS基本値 = 0.1〜3.9
警告
- CVSS基本値 = 4.0〜6.9
重要
- CVSS基本値 = 7.0〜8.9
緊急
- CVSS基本値 = 9.0〜10.0

表3-1.JVN iPediaの脆弱性対策情報へのアクセス上位20件 [2021年7月〜2021年9月]

1位 WordPress におけるクロスサイトスクリプティングの脆弱性 JVNDB-2020-006830

WordPress におけるクロスサイトスクリプティングの脆弱性

CVSSv2基本値の深刻度: レベルI(注意)

CVSSv2 基本値: 3.5

CVSSv3基本値の深刻度: 警告

CVSSv3 基本値: 5.4

公開日: 2020年7月20日

アクセス数: 11,396

2位 WordPress におけるクロスサイトスクリプティングの脆弱性 JVNDB-2020-006788

WordPress におけるクロスサイトスクリプティングの脆弱性

CVSSv2基本値の深刻度: レベルI(注意)

CVSSv2 基本値: 3.5

CVSSv3基本値の深刻度: 注意

CVSSv3 基本値: 2.4

公開日: 2020年7月17日

アクセス数: 11,137

3位 WordPress におけるクロスサイトスクリプティングの脆弱性 JVNDB-2020-006831

WordPress におけるクロスサイトスクリプティングの脆弱性

CVSSv2基本値の深刻度: レベルI(注意)

CVSSv2 基本値: 3.5

CVSSv3基本値の深刻度: レベルI(注意)

CVSSv3 基本値: 6.8

公開日: 2020年7月20日

アクセス数: 10,495

4位 WordPress における代替パスまたはチャネルを使用した認証回避に関する脆弱性 JVNDB-2020-006893

WordPress における代替パスまたはチャネルを使用した認証回避に関する脆弱性

CVSSv2基本値の深刻度: レベルII(警告)

CVSSv2 基本値: 6.0

CVSSv3基本値の深刻度: 注意

CVSSv3 基本値: 3.1

公開日: 2020年7月22日

アクセス数: 10,157

5位 phpMyAdmin におけるクロスサイトスクリプティングの脆弱性 JVNDB-2014-003893

phpMyAdmin におけるクロスサイトスクリプティングの脆弱性

CVSSv2基本値の深刻度: レベルI(注意)

CVSSv2 基本値: 3.5

CVSSv3 基本値: -

公開日: 2014年8月25日

アクセス数: 7,898

6位 Minecraft Java Edition におけるディレクトリトラバーサルの脆弱性 JVNDB-2021-000072

Minecraft Java Edition におけるディレクトリトラバーサルの脆弱性

CVSSv2基本値の深刻度: レベルII(警告)

CVSSv2 基本値: 5.0

CVSSv3基本値の深刻度: 警告

CVSSv3 基本値: 5.3

公開日: 2021年7月21日

アクセス数: 6,604

7位 EC-CUBE におけるアクセス制限不備の脆弱性 JVNDB-2021-000059

EC-CUBE におけるアクセス制限不備の脆弱性

CVSSv2基本値の深刻度: レベルII(警告)

CVSSv2 基本値: 5.0

CVSSv3基本値の深刻度: 重要

CVSSv3 基本値: 7.5

公開日: 2021年7月1日

アクセス数: 6,459

8位 Everything における HTTP ヘッダインジェクションの脆弱性 JVNDB-2021-000067

Everything における HTTP ヘッダインジェクションの脆弱性

CVSSv2基本値の深刻度: レベルII(警告)

CVSSv2 基本値: 5.8

CVSSv3基本値の深刻度: 警告

CVSSv3 基本値: 6.1

公開日: 2021年7月9日

アクセス数: 6,453

9位 GroupSession における複数の脆弱性 JVNDB-2021-000070

GroupSession における複数の脆弱性

CVSSv2基本値の深刻度: レベルII(警告)

CVSSv2 基本値: 4.0

CVSSv3基本値の深刻度: 警告

CVSSv3 基本値: 5.0

公開日: 2021年7月19日

アクセス数: 6,116

10位 WordPress 用プラグイン WordPress Meta Data Filter & Taxonomies Filter におけるクロスサイトリクエストフォージェリの脆弱性 JVNDB-2021-000065

WordPress 用プラグイン WordPress Meta Data Filter & Taxonomies Filter におけるクロスサイトリクエストフォージェリの脆弱性

CVSSv2基本値の深刻度: レベルI(注意)

CVSSv2 基本値: 2.6

CVSSv3基本値の深刻度: 警告

CVSSv3 基本値: 4.3

公開日: 2021年7月8日

アクセス数: 6,068

11位複数のトレンドマイクロ製企業向けエンドポイントセキュリティ製品における複数の脆弱性 JVNDB-2021-002077

複数のトレンドマイクロ製企業向けエンドポイントセキュリティ製品における複数の脆弱性

CVSSv2 基本値: -

CVSSv3基本値の深刻度: レベルII(警告)

CVSSv3 基本値: 7.8

公開日: 2021年7月30日

アクセス数: 5,992

12位トレンドマイクロ製 InterScan Web Security シリーズにおけるクロスサイトスクリプティングの脆弱性 JVNDB-2021-002005

トレンドマイクロ製 InterScan Web Security シリーズにおけるクロスサイトスクリプティングの脆弱性

CVSSv2基本値の深刻度: レベルI(注意)

CVSSv2 基本値: 3.5

CVSSv3基本値の深刻度: 警告

CVSSv3 基本値: 5.4

公開日: 2021年7月19日

アクセス数: 5,901

13位スマートフォンアプリ「Retty」における複数の脆弱性 JVNDB-2021-000068

スマートフォンアプリ「Retty」における複数の脆弱性

CVSSv2基本値の深刻度: レベルII(警告)

CVSSv2 基本値: 5.0

CVSSv3基本値の深刻度: 警告

CVSSv3 基本値: 4.0

公開日: 2021年7月13日

アクセス数: 5,893

14位光BBユニット E-WMTA2.3 におけるクロスサイトリクエストフォージェリの脆弱性 JVNDB-2021-000069

光BBユニット E-WMTA2.3 におけるクロスサイトリクエストフォージェリの脆弱性

CVSSv2基本値の深刻度: レベルII(警告)

CVSSv2 基本値: 4.0

CVSSv3基本値の深刻度: 警告

CVSSv3 基本値: 5.4

公開日: 2021年7月14日

アクセス数: 5,863

15位 boastMachine におけるクロスサイトスクリプティングの脆弱性 JVNDB-2007-002102

boastMachine におけるクロスサイトスクリプティングの脆弱性

CVSSv2基本値の深刻度: レベルII(警告)

CVSSv2 基本値: 4.3

CVSSv3基本値の深刻度: 警告

CVSSv3 基本値: 6.1

公開日: 2012年6月26日

アクセス数: 5,830

16位サイボウズ Garoon における不適切な入力確認の脆弱性 JVNDB-2020-000071

サイボウズ Garoon における不適切な入力確認の脆弱性

CVSSv2基本値の深刻度: レベルII(警告)

CVSSv2 基本値: 4.0

CVSSv3基本値の深刻度: 警告

CVSSv3 基本値: 4.3

公開日: 2020年11月5日

アクセス数: 5,685

17位 WordPress 用プラグイン Software License Manager におけるクロスサイトリクエストフォージェリの脆弱性 JVNDB-2021-000066

WordPress 用プラグイン Software License Manager におけるクロスサイトリクエストフォージェリの脆弱性

CVSSv2基本値の深刻度: レベルI(注意)

CVSSv2 基本値: 2.6

CVSSv3基本値の深刻度: 警告

CVSSv3 基本値: 4.3

公開日: 2021年7月8日

アクセス数: 5,655

18位 IKaIKa RSSリーダーにおけるクロスサイトスクリプティングの脆弱性

IKaIKa RSSリーダーにおけるクロスサイトスクリプティングの脆弱性

CVSSv2基本値の深刻度: レベルII(警告)

CVSSv2 基本値: 5.8

CVSSv3基本値の深刻度: 警告

CVSSv3 基本値: 5.4

公開日: 2021年6月30日

アクセス数: 5,607

19位 Android アプリ「ジーユー」におけるアクセス制限不備の脆弱性 JVNDB-2021-000064

Android アプリ「ジーユー」におけるアクセス制限不備の脆弱性

CVSSv2基本値の深刻度: レベルII(警告)

CVSSv2 基本値: 4.3

CVSSv3基本値の深刻度: 警告

CVSSv3 基本値: 4.3

公開日: 2021年7月7日

アクセス数: 5,485

20位エレコム製ルータにおける認証不備および OS コマンドインジェクションの脆弱性 JVNDB-2021-001977

エレコム製ルータにおける認証不備および OS コマンドインジェクションの脆弱性

CVSSv2 基本値: -

CVSSv3基本値の深刻度: 警告

CVSSv3 基本値: 6.3

公開日: 2021年7月7日

アクセス数: 5,463

表3-2は国内の製品開発者から収集した脆弱性対策情報でアクセスの多かった上位5件を示しています。

表3-2.国内の製品開発者から収集した脆弱性対策情報へのアクセス上位5件[2021年7月〜2021年9月]

1位 CCosminexus 運用管理機能における情報露出の脆弱性 JVNDB-2021-001345

CCosminexus 運用管理機能における情報露出の脆弱性

CVSSv2 基本値: -

CVSSv3 基本値: -

公開日: 2021年4月13日

アクセス数: 4,123

2位 JP1/IT Desktop Management 2 - Manager、 JP1/NETM/Asset Information Managerにおけるアクセス制御不備による脆弱性 JVNDB-2021-001021

JP1/IT Desktop Management 2 - Manager、 JP1/NETM/Asset Information Managerにおけるアクセス制御不備による脆弱性

CVSSv2 基本値: -

CVSSv3 基本値: -

公開日: 2021年2月8日

アクセス数: 4,054

3位 JP1/Automatic Job Management System 3 および JP1/Automatic Job Management System 2 における DoS 脆弱性 JVNDB-2020-004476

JP1/Automatic Job Management System 3 および JP1/Automatic Job Management System 2 における DoS 脆弱性

CVSSv2 基本値: -

CVSSv3 基本値: -

公開日: 2020年5月18日

アクセス数: 4,052

4位 JP1/VERITAS 製品における脆弱性 JVNDB-2021-001344

JP1/VERITAS 製品における脆弱性

CVSSv2 基本値: -

CVSSv3 基本値: -

公開日: 2021年4月13日

アクセス数: 4,052

5位 JP1/Automatic Operation における複数の脆弱性 JVNDB-2021-001026

JP1/Automatic Operation における複数の脆弱性

CVSSv2 基本値: -

CVSSv3 基本値: -

公開日: 2021年2月16日

アクセス数: 4,040

脚注

(*1)

Japan Vulnerability Notes:脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。

(*2)

National Institute of Standards and Technology:米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。

(*3)

National Vulnerability Database:NISTが運営する脆弱性データベース。

(*4)

IPA:「脆弱性対処に向けた製品開発者向けガイド」

(*5)

IPA:「安全なウェブサイトの作り方」

(*6)

IPA:「IPA セキュア・プログラミング講座」

(*7)

IPA:「脆弱性体験学習ツール AppGoat」

(*8)

IPA:「JVN iPedia データフィード」

(*9)

IPA:「脆弱性対策の効果的な進め方(実践編)」

資料のダウンロード

脆弱性対策情報データベースJVN iPediaに関する活動報告レポート(PDF:481 KB)

参考情報

脆弱性対策情報データベースJVN iPediaの登録状況の一覧