独立行政法人情報処理推進機構(IPA)は1月17日、2023年第4四半期(10月から12月)における「脆弱性対策情報データベースJVN iPediaの登録状況」を発表した。
発表によると、同四半期にJVN iPedia日本語版へ登録された脆弱性対策情報は21,884件で、累計登録件数が193,872件となった。内訳は、国内製品開発者から収集したもの5件(公開開始からの累計は275件)、JVNから収集したもの1,151件(累計14,236件)、NVDから収集したもの20,884件(累計193,872件)となっている。
前四半期に続いて登録件数が増加している理由は、同期間中に脆弱性が多く発見されたわけではなく、公開が遅れていた主に昨年の脆弱性が多数公開されたためとしている。これにはJVN iPediaの運用方法の変更が影響しているという。
JVN iPedia英語版へ登録された脆弱性対策情報は49件で、累計登録件数が2,724件となった。内訳は、国内製品開発者から収集したもの5件(公開開始からの累計は279件)、JVNから収集したもの44件(累計2,445件)となっている。
注目情報として、「MOVEit Transferのゼロデイ脆弱性」と「Citrix Bleedに関する新しい製品の脆弱性を使った攻撃について」の2つを取り上げている。
件数が多かった脆弱性は、「CWE-79(クロスサイトスクリプティング:XSS)」3,526件、「CWE-787(境界外書き込み)」1,669件、「CWE-89(SQLインジェクション)」1,571件、「CWE-352(クロスサイト・リクエスト・フォージェリ)」846件、「CWE-125(境界外読み取り)」771件などとなっている。
CVSSv3による深刻度別では、「緊急」が全体の17.5%、「重要」が同39.1%、「警告」が同41.7%、「注意」が同1.7%となった。製品開発者は既知の脆弱性による脅威を回避するために、日頃から脆弱性対策情報に注意を払うとともに、脆弱性が解消されている製品へのバージョンアップやアップデートなどを速やかに行うよう呼びかけている。
製品別登録状況では、「Qualcomm component(クアルコム)」4,965件、「Android(Google)」1,406件、「Fedora(Fedora Project)」524件、「Debian GNU/Linux(Debian)」476件、「macOS(アップル)」406件が上位となった。10位中8製品がLinuxベースのOS、ファームウェア、ブラウザがそれぞれ1製品であった。
