独立行政法人 情報処理推進機構(IPA)は4月19日、2023年第1四半期(1月から3月)における「脆弱性対策情報データベース『JVN iPedia』の登録状況」を発表した。
発表によると、同期間にJVN iPedia日本語版へ登録された脆弱性対策情報は2,986件で、累計登録件数が154,942件となった。内訳は、国内製品開発者から収集したもの2件(公開開始からの累計は263件)、JVNから収集したもの180件(累計12,149件)、NVDから収集したもの2,804件(累計142,530件)となっている。
JVN iPedia英語版へ登録された脆弱性対策情報は45件で、累計登録件数が2,572件となった。内訳は、国内製品開発者から収集したもの2件(公開開始からの累計は266件)、JVNから収集したもの43件(累計2,306件)となっている。
件数が多かった脆弱性は、「CWE-79(クロスサイトスクリプティング:XSS)」343件、「CWE-787(境界外書き込み)」262件、「CWE-89(SQLインジェクション)」140件、「CWE-416(解放済みメモリの使用)」94件、「CWE-125(境界外読み取り)」83件などとなっている。
CVSSv3による深刻度別では、「緊急」が全体の15.5%、「重要」が同42.1%、「警告」が同40.4%、「注意」が同1.9%となった。ただし、必ずしも深刻度の高さと攻撃受ける数は比例しないので、注意が必要だ。
製品別登録状況では、「Qualcomm component (クアルコム)」382件、「Mozilla Firefox (Mozilla Foundation)」154件、「Microsoft Windows 10 (マイクロソフト)」151件、「Microsoft Windows 11 (マイクロソフト)」150件、「Microsoft Windows Server 2022 (マイクロソフト)」147件が上位となった。10位中6製品がマイクロソフト製品(OS)、2製品がブラウザであった。
