脆弱性対策情報データベースJVN iPediaの登録状況 [2024年第1四半期（1月〜3月）]

1. 2024年第1四半期 脆弱性対策情報データベース JVN iPediaの登録状況

• 
   

  
  

  2. JVN iPediaの登録データ分類

  2-1. 脆弱性の種類別件数

  
  図2-1は、2024年第1四半期︵1月～3月︶にJVN iPediaへ登録した脆弱性対策情報を、共通脆弱性タイプ一覧(CWE)によって分類し、件数を集計したものです。 
  
  集計結果は件数が多い順に、CWE-79︵クロスサイトスクリプティング︶が2,198件、CWE-787︵境界外書き込み︶が891件、CWE-89︵SQLインジェクション︶が876件、CWE-352︵クロスサイト・リクエスト・フォージェリ︶が611件、CWE-862︵認証の欠如︶が328件でした。最も件数の多かったCWE-79︵クロスサイトスクリプティング︶は、悪用されると偽のウェブページが表示されたり、情報が漏えいしたりするおそれがあります。 
  
  製品開発者は、ソフトウェアの企画・設計段階から、脆弱性の低減に努めることが求められます。IPAではそのための資料やツールとして、開発者が実施すべき脆弱性対処をまとめた資料﹁脆弱性対処に向けた製品開発者向けガイド(注釈4)﹂、開発者や運営者がセキュリティを考慮したウェブサイトを作成するための資料﹁安全なウェブサイトの作り方 (注釈5)﹂、脆弱性の仕組みを実習形式や演習機能で学ぶことができる脆弱性体験学習ツール﹁AppGoat(注釈6)﹂などを公開しています。 
  
  
  
  
  
  

  2-2. 脆弱性に関する深刻度別割合

  
  図2-2はJVN iPediaに登録済みの脆弱性対策情報をCVSSv2の値に基づいて深刻度別に分類し、登録年別にその推移を示したものです。2024年にJVN iPediaに登録した脆弱性対策情報は深刻度別に、レベル3が全体の4.2%、レベル2が66.0%、レベル1が29.8%となっており、情報の漏えいや改ざんされるような危険度が高い脅威であるレベル2以上が70.2％を占めています。なお、2024年にJVN iPediaにおけるCVSSv2の登録件数が大幅に減少した理由は、JVN iPediaの情報収集元であるNVDにおいてCVSSv2の評価が積極的には行われていない(注釈7)ためです。  
  
  
  
  
  
  図2-3はJVN iPediaに登録済みの脆弱性対策情報をCVSSv3の値に基づいて深刻度別に分類し、登録年別にその推移を示したものです。2024年にJVN iPediaに登録した脆弱性対策情報は深刻度別に、﹁緊急﹂が全体の17.1%、﹁重要﹂が37.6%、﹁警告﹂が43.8%、﹁注意﹂が1.5%となっています。  
  
  
  
  
  
  既知の脆弱性による脅威を回避するため、製品開発者は常日頃から新たに報告される脆弱性対策情報に注意を払うと共に、脆弱性が解消されている製品へのバージョンアップやアップデートなどを速やかに行ってください。 
  
  なお、新たに登録したJVN iPediaの情報を、RSS形式やXML形式(注釈8) で公開しています。 
  
  

  2-3. 脆弱性対策情報を公開した製品の種類別件数

  
  図2-4はJVN iPediaに登録済みの脆弱性対策情報をソフトウェア製品の種類別に件数を集計し、年次でその推移を示したものです。2024年で最も多い種別は﹁アプリケーション﹂に関する脆弱性対策情報で、2024年の件数全件の約74.7%︵9,481件／全12,698件︶を占めています。  
  
  
  
  
  
  図2-5は重要インフラなどで利用される、産業用制御システムに関する脆弱性対策情報の件数を集計し、年次でその推移を示したものです。これまでに累計で6,162件を登録しています。  
  
  
  
  
  

  2-4. 脆弱性対策情報の製品別登録状況

  
  表2-1は2024年第1四半期︵1月～3月︶にJVN iPediaへ登録された脆弱性対策情報の中で登録件数が多かった製品上位20件を示したものです。
  
  本四半期においてはクアルコムが提供するQualcomm componentが1位となりました。2位以降はGoogle、アップル、マイクロソフトなど、幅広いベンダのOSがランクインをしました。
  
  JVN iPediaは、表に記載されている製品以外にも幅広い脆弱性対策情報を登録公開しています。製品の利用者や開発者は、自組織などで使用しているソフトウェアの脆弱性対策情報を迅速に入手し、効率的な対策に役立ててください︵注釈9︶。  
  

  表2-1. 製品別JVN iPediaの脆弱性対策情報登録件数 上位20件 [2024年1月～2024年3月]

  順位	カテゴリ	製品名（ベンダ名）	登録件数
  1	ファームウェア	Qualcomm component (クアルコム)	2,889
  2	OS	Android (Google)	521
  3	OS	macOS (アップル)	292
  4	OS	Fedora (Fedora Project)	236
  5	OS	Linux Kernel (Linux)	203
  6	CMS	Adobe Experience Manager (アドビ)	199
  7	OS	Debian GNU/Linux (Debian)	194
  8	OS	iPadOS (アップル)	183
  8	OS	iOS (アップル)	183
  10	ブラウザ	Google Chrome (Google)	157
  11	ブラウザ	Mozilla Firefox (Mozilla Foundation)	148
  12	OS	Red Hat Enterprise Linux (レッドハット)	126
  13	CMS	Adobe Experience Manager Cloud Service (アドビ)	117
  14	OS	HarmonyOS (Huawei)	116
  15	OS	EMUI (Huawei)	110
  16	OS	watchOS (アップル)	99
  17	ブラウザ	Mozilla Firefox ESR (Mozilla Foundation)	87
  18	その他	GTKWave (tonybybell)	82
  19	OS	Microsoft Windows Server 2022 (マイクロソフト)	80
  20	OS	tvOS (アップル)	79

   

  3. 脆弱性対策情報の活用状況

  表3-1は2024年第1四半期（1月～3月）にアクセスが多かったJVN iPediaの脆弱性対策情報の上位20件を示したものです。
  
  本四半期は、上位20件中17件が脆弱性対策情報ポータルサイトJVN で公開された脆弱性対策情報でした。

  表3-1. JVN iPediaの脆弱性対策情報へのアクセス 上位20件 [2024年1月～2024年3月]

  順位	ID/タイトル	CVSSv2 基本値	CVSSv3 基本値	公開日	アクセス数
  1	JVNDB-2024-000001 WordPress 用プラグイン WordPress Quiz Maker Plugin における不適切な入力確認の脆弱性	4.0	5.0	2024年 1月12日	6,915
  2	JVNDB-2024-002050 キヤノン製スモールオフィス向け複合機およびレーザービームプリンターにおける複数の境界外書き込みの脆弱性	-	9.8	2024年 2月7日	6,616
  3	JVNDB-2023-012042 WordPress 用プラグイン MW WP Form に任意のファイルをアップロードされる脆弱性	-	9.8	2023年 12月15日	6,513
  4	JVNDB-2024-000028 SKYSEA Client View における複数の脆弱性	4.3	7.8	2024年 3月7日	6,020
  5	JVNDB-2022-012258 The JForum Team の Jforum におけるクロスサイトリクエストフォージェリの脆弱性	6.8	8.8	2023年 8月28日	6,011
  6	JVNDB-2024-001002 複数の TP-Link 製品における OS コマンドインジェクションの脆弱性	-	7.5	2024年 1月10日	5,814
  7	JVNDB-2024-000013 Android アプリ「Spoon (スプーン)」に外部サービスの API キーがハードコードされている問題	2.1	4.0	2024年 1月23日	5,610
  8	JVNDB-2024-002837 マイクロソフトの複数の Microsoft Windows 製品における権限を昇格される脆弱性	-	7.8	2024年 2月22日	5,566
  9	JVNDB-2024-000004 Drupal における特定の構造を持つ入力に対する不適切な取り扱いの脆弱性	5.0	5.3	2024年 1月16日	5,490
  10	JVNDB-2024-000020 エレコム製無線 LAN ルーターにおける複数の脆弱性	3.5	4.8	2024年 2月20日	5,465
  11	JVNDB-2023-000126 PowerCMS における複数の脆弱性	3.5	5.4	2023年 12月26日	5,374
  12	JVNDB-2023-000084 WordPress 用プラグイン Advanced Custom Fields におけるクロスサイトスクリプティングの脆弱性	3.5	5.4	2023年 8月21日	5,343
  13	JVNDB-2024-000011 a-blog cms における複数の脆弱性	4.3	6.1	2024年 1月22日	5,335
  14	JVNDB-2024-001062 ヤマハ製無線 LAN アクセスポイントに利用可能なデバッグ機能が存在し ている脆弱性	5.2	6.8	2024年 1月24日	5,328
  15	JVNDB-2024-000002 サーマルカメラ TMC シリーズにおける技術情報の提供が不十分な問題	1.7	2.1	2024年 1月15日	5,301
  16	JVNDB-2023-000125 バッファロー製 VR-S1000 における複数の脆弱性	5.2	6.8	2023年 12月26日	5,189
  17	JVNDB-2024-000005 Android アプリ「メルカリ」におけるアクセス制限不備の脆弱性	4.3	3.3	2024年 1月24日	5,152
  18	JVNDB-2024-000027 富士フイルムビジネスイノベーション製プリンターにおけるクロスサイトリクエストフォージェリの脆弱性	2.6	6.5	2024年 3月6日	5,141
  19	JVNDB-2024-002832 Hitachi Global Link Manager における EL インジェクションの脆弱性	-	7.6	2024年 2月21日	5,122
  20	JVNDB-2024-002942 オムロン製マシンオートメーションコントローラ NJ/NX シリーズにおけるパストラバーサルの脆弱性	-	7.2	2024年 3月8日	5,109

   

  
  

  表3-2は国内の製品開発者から収集した脆弱性対策情報でアクセスの多かった上位5件を示しています。

  表3-2. 国内の製品開発者から収集した脆弱性対策情報へのアクセス 上位5件 [2024年1月～2024年3月]

  順位	ID/タイトル	CVSSv2 基本値	CVSSv3 基本値	公開日	アクセス数
  1	JVNDB-2024-002832 Hitachi Global Link Manager における EL インジェクションの脆弱性	-	7.6	2024年 2月21日	5,122
  2	JVNDB-2024-001160 Hitachi Storage Plug-in for VMware vCenter におけるファイルおよびディレクトリパーミッションの脆弱性	-	7.9	2024年 1月31日	4,711
  3	JVNDB-2024-002961 Cosminexus Component Container における情報露出の脆弱性	-	5.6	2024年 3月13日	3,829
  4	JVNDB-2023-003771 JP1/Performance Management におけるファイルおよびディレクトリパーミッションの脆弱性	-	8.4	2023年 10月4日	3,100
  5	JVNDB-2023-009619 DT900 における OS コマンドインジェクションの脆弱性	-	-	2023年 12月6日	2,961

   

  注釈

  1. 注釈1
     Japan Vulnerability Notes：脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
  2. 注釈2
     National Institute of Standards and Technology：米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
  3. 注釈3
     National Vulnerability Database：NISTが運営する脆弱性データベース。
  4. 注釈4
     IPA：「脆弱性対処に向けた製品開発者向けガイド」
  5. 注釈5
     IPA：「安全なウェブサイトの作り方」
  6. 注釈6
     IPA：「脆弱性体験学習ツール AppGoat」
  7. 注釈7
     NIST：「Retirement of CVSS v2」
  8. 注釈8
     IPA：「JVN iPedia データフィード」
  9. 注釈9
     IPA：「脆弱性対策の効果的な進め方（実践編）」

  資料のダウンロード

  • 脆弱性対策情報データベースJVN iPediaに関する活動報告レポート(PDF:587 KB)

  参考情報

  • 脆弱性対策情報データベースJVN iPediaの登録状況の一覧

  お問い合わせ先

  IPA セキュリティセンター 土屋／吉本／篠塚

  • E-mail