IPAがJPCERT/CCと共同で運営する、脆弱性対策情報データベース「JVN iPedia（ https://jvndb.jvn.jp/ ）」。情シスの皆さんであれば、一度は目にしたこともあるのではないだろうか。
このJVN iPediaは登録ベースの情報ではあるが、どのような脆弱性が存在し、その脆弱性がどの程度深刻なものなのかが一目でわかるようになっている。
今回は2021年第二四半期に登録された脆弱性情報について分析した結果を紹介することで、脆弱性問題の”今”を知っておこう。

 

JVN iPediaとは

まず、脆弱性対策情報データベース「JVN iPedia」について、簡単におさらいをしておきましょう。
JVNとは、”Japan Vulnerability Notes” の略であり、脆弱性対策情報データベース「JVN iPedia」は、日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供し、情報セキュリティ対策に資することを目的とする脆弱性対策情報ポータルサイトである。
脆弱性関連情報の受付と安全な流通を目的に、2004年7月よりJPCERTコーディネーションセンターと独立行政法人情報処理推進機構 (IPA)が共同で運営をしている。

＜画像：JVN iPedia HPより＞

JVNでは、「情報セキュリティ早期警戒パートナーシップ」制度に基づいて報告された脆弱性情報や、CERT/CC など海外の調整機関と連携した脆弱性情報を日本語で公開している。
以下のような脆弱性に関する情報をシステム管理者が迅速に脆弱性対策を行えるよう、集約・翻訳してくれている。

1. 国内のソフトウェア開発者が公開した脆弱性対策情報
2. 脆弱性対策情報ポータルサイトJVNで公表した脆弱性対策情報
3. 米国国立標準技術研究所NISTの脆弱性データベース「NVD」が公開した脆弱性対策情報

掲載内容は、脆弱性が確認された製品とバージョン、脆弱性の詳細や分析結果、製品開発者によって提供された対策や関連情報へのリンクなどであり、対策にはパッチだけではなく回避策（ワークアラウンド）が掲載される事もある。
脆弱性に関する”新着情報”もトップページには掲載されており、CVSS（Common Vulnerability Scoring System) でのレベル表示も行われているなど、視覚的に注意すべき脆弱性に気が付けることもあり、毎日のルーティンの一つとしてサイトチェックをしてもよいだろう。

＜画像：JVN iPedia＞　掲載情報の一例

 

脆弱性対策情報の登録状況

2021年第2四半期（2021年4月1日から6月30日まで）にJVN iPedia日本語版へ登録した脆弱性対策情報は、2007年4月25日にJVN iPediaの公開を開始してから2021年第一四半期までの脆弱性対策情報の登録件数の累計は、129,824件になっている。（表1-1、図1-1）
また、JVN iPedia英語版へ登録した脆弱性対策情報は、累計で2,301件になった。

表1-1：2021年第2四半期の登録件数
＜表及び図：IPAより＞

 

JVN iPediaの登録データ分類

脆弱性の種類別件数

図2-1は、2021年第2四半期（4月～6月）にJVN iPediaへ登録した脆弱性対策情報を、共通脆弱性タイプ一覧(CWE)によって分類し、件数を集計したものである。

集計結果は件数が多い順に、CWE-79（クロスサイトスクリプティング）が264件、CWE-20（不適切な入力確認）が134件、CWE-269（不適切な権限管理）が101件、CWE-787（境界外書き込み）が88件、CWE-200（情報漏えい）が87件という結果であった。
最も件数の多かったCWE-79（クロスサイトスクリプティング）は、偽のウェブページ表示に悪用されたり、情報が漏えいにつながるおそれがある。

よって製品開発者には、ソフトウェアの企画・設計段階から、脆弱性の低減に努めることが求められる。
IPAではそのための資料やツールとして、開発者が実施すべき脆弱性対処をまとめた資料「脆弱性対処に向けた製品開発者向けガイド」、開発者や運営者がセキュリティを考慮したウェブサイトを作成するための資料「安全なウェブサイトの作り方 」や「IPAセキュア・プログラミング講座」、脆弱性の仕組みを実習形式や演習機能で学ぶことができる脆弱性体験学習ツール「AppGoat」などを公開しており、参考にするとよいだろう。

＜図：IPAより＞

 

脆弱性に関する深刻度別割合

図2-2はJVN iPediaに登録済みの脆弱性対策情報をCVSSv2の値に基づいて深刻度別に分類し、登録年別にその推移を示したものである。
2021年にJVN iPediaに登録した脆弱性対策情報は深刻度別に、レベルIIIが全体の22.0%、レベルIIが62.9%、レベルIが15.1%となっており、情報の漏えいや改ざんされるような危険度が高い脅威であるレベルII以上が84.9％を占めていることが見て取れる。

＜図：IPAより＞

次に図2-3はJVN iPediaに登録済みの脆弱性対策情報をCVSSv3の値に基づいて深刻度別に分類し、登録年別にその推移を示したものである。
2021年にJVN iPediaに登録した脆弱性対策情報は深刻度別に、「緊急」が全体の12.8%、「重要」が45.2%、「警告」が39.4%、「注意」が2.6%となっている。約半数以上の脆弱性は緊急または重要に該当することから、脆弱性がいかに問題なのかお判りいただけるだろう。

＜図：IPAより＞

既知の脆弱性による脅威を回避するため、製品開発者は常日頃から新たに報告される脆弱性対策情報に注意を払うと共に、脆弱性が解消されている製品へのバージョンアップやアップデートなどを速やかに行う必要がある。
尚、新たに登録したJVN iPediaの情報は、RSS形式やXML形式でも公開されている。

脆弱性対策情報を公開した製品の種類別件数

図2-4はJVN iPediaに登録済みの脆弱性対策情報をソフトウェア製品の種類別に件数を集計し、年次でその推移を示したものである。
2021年で最も多い種別は「アプリケーション」に関する脆弱性対策情報で、2021年の件数全件の約68.4%（3,034件／全4,436件）を占めている。

＜図：IPAより＞

図2-5は重要インフラなどで利用される、産業用制御システムに関する脆弱性対策情報の件数を集計し、年次でその推移を示したものである。
これまでに累計で2,959件を登録しています。産業用制御システムも過去のようにスタンドアロンからネットワークを利用するモデルに代わっており、米国での「Orion」問題ではないが、今後より一層の注意が必要である。

＜図：IPAより＞

脆弱性対策情報の製品別登録状況

表2-1は2021年第2四半期（4月～6月）にJVN iPediaへ登録された脆弱性対策情報の中で登録件数が多かった製品上位20件を示したものである。
本四半期において最も登録件数が多かった製品は前四半期に引き続きクアルコム製品で、460件登録された。これは2020年に公表された複数のクアルコム製品に関する脆弱性情報を多数登録したことによる。
また、マイクロソフト社のWindows製品などのOS製品が上位20件中14件を占めています。

JVN iPediaは、表に記載されている製品以外にも幅広い脆弱性対策情報を登録公開している。製品の利用者や開発者は、自組織などで使用しているソフトウェアの脆弱性対策情報を迅速に入手し、効率的な対策に役立ててることが肝要である。

表2-1.製品別JVN iPediaの脆弱性対策情報登録件数　上位20件 [2021年4月～2021年6月]

＜表：IPAより＞

 

脆弱性対策情報の活用状況

表3-1は2021年第2四半期（4月～6月）にアクセスの多かったJVN iPediaの脆弱性対策情報の上位20件を示したものである。
本四半期の1位は2014年に公開したphpMyAdminに関する脆弱性対策情報であった。尚、これは特定の組織から機械的と思われる多くのアクセスがあったためである。
また、上位20件中17件が脆弱性対策情報ポータルサイトJVNで公開された脆弱性対策情報であったことにも注目したい。

表3-1.JVN iPediaの脆弱性対策情報へのアクセス　上位20件 [2021年4月～2021年6月]

表3-2は国内の製品開発者から収集した脆弱性対策情報でアクセスの多かった上位5件を示している。

表3-2.国内の製品開発者から収集した脆弱性対策情報へのアクセス 上位5件[2021年4月～2021年6月]

毎日のルーティンとはいかなくても定期的に確認することで、気が付けなかった脆弱性を見つけることができるかもしれない。
上手に活用し、自社に効果的な情報セキュリティ対策を行いたい。

---

本内容は、IPA様の発表内容を元に作成しております。
ソース：https://www.ipa.go.jp/security/vuln/report/JVNiPedia2021q2.html