独立行政法人情報処理推進機構(IPA)は1月19日、2021年第4四半期(10月から12月)における「脆弱性対策情報データベース『JVN iPedia』の登録状況」を発表した。発表によると、同期間にJVN iPedia日本語版へ登録された脆弱性対策情報は4,676件で、累計登録件数が137,702件となった。内訳は、国内製品開発者から収集したもの5件(公開開始からの累計は261件)、JVNから収集したもの358件(累計10,814件)、NVDから収集したもの4,313件(累計126,627件)となっている。
同四半期の注目情報として、2021年10月5日(日本時間)にリリースされた Windows 11において2021年12月末までに89件と多くの脆弱性が公開されている件と、Apache Software Foundation から2021年10月に情報公開された Apache HTTP Serverの脆弱性(CVE-2021-41773)を挙げている。
件数が多かった脆弱性は、「CWE-79(クロスサイトスクリプティング:XSS)」501件、「CWE-787(境界外書き込み)」274件、「CWE-269(不適切な権限管理)」172件、「CWE-89(SQL インジェクション)」165件、「CWE-125(境界外読み取り)」145件などとなっている。
製品別登録状況では、1位に「Qualcomm component(クアルコム)」、2位に「Fedora(Fedora Project)」、3位に「Debian GNU/Linux(Debian)」、4位に「Android(Google)」、5位に「Google Chrome(Google)」、6位から15位、17位、20位をWindows OSが占めている。
アクセスの多かったJVN iPediaの脆弱性対策情報は、1位に「Movable Type の XMLRPC API における OS コマンドインジェクションの脆弱性」、2位に「Apache Log4j における任意のコードが実行可能な脆弱性」、3位に「Apache HTTP Server におけるディレクトリトラバーサルの脆弱性」、4位に「Log4j における信頼性のないデータのデシリアライゼーションに関する脆弱性」、5位に「サイボウズ リモートサービスにおける複数の脆弱性」、6位に「トレンドマイクロ製 ServerProtect における認証回避の脆弱性」、7位に「スマートフォンアプリ「Nike」における Custom URL Scheme の処理にアクセス制限不備の脆弱性」、8位に「CLUSTERPRO X および EXPRESSCLUSTER X における複数の脆弱性」、9位に「サイボウズ Office に複数の脆弱性」、10位に「Hitachi Tuning Manager、Hitachi Infrastructure Analytics Advisor および Hitachi Ops Center Analyzer における情報露出の脆弱性」となっている。
![2021年総括/中国APTが中国国内企業を攻撃/華為スパイ活動マーケ資料 ほか [Scan PREMIUM Monthly Executive Summary] 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/36875.jpg)
