ソフトウェア脆弱性は2019年にどう変わったのか? TheBestVPN.comが報告コード実行の脆弱性が多い

TheBestVPN.comは主要なOSやWebブラウザなどで2019年に見つかった脆弱性を調査した結果を発表した。NIST(米国国立標準技術研究所)の「National Vulnerability Database」を基に分析した。OSでは「Android」、アプリケーションソフトウェアでは「Adobe Flash Player」の脆弱性が最も多かった。

» 2020年03月11日 20時00分 公開
[@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 TheBestVPN.comは2020年3月6日(米国時間)、主要なOSやWebブラウザなどで見つかった脆弱(ぜいじゃく)性を調査した結果を発表した。NIST(米国国立標準技術研究所)の「National Vulnerability Database」を基にして、2019年に見つかった脆弱性を対象とした。

 2019年に脆弱性が最も多く報告されたソフトウェアの他、脆弱性の種類ごとの比率、脆弱性が多数報告されたベンダーやOS、脆弱性のリスクが高かったソフトウェアなどを報告している。1999〜2019年の20年間にわたる状況にも触れている。

脆弱性が最も多く報告されたソフトウェアは「Android」

 2019年に報告された脆弱性の総数は1万2174件。そのうち報告件数が最も多かったソフトウェアは「Android」(414件)だった。Androidは2016年と2017年にも報告件数が最も多かった。

 なお、2018年は1万6556件の脆弱性が報告されており、件数が最も多かったのは「Debian GNU/Linux」(1197件)だった。

 TheBestVPN.comはiOSがリストに含まれていないことに注目している。

各年に最も脆弱性の報告が多かったソフトウェア(出典:TheBestVPN) The Best VPNによれば、一部のソフトウェアについては報告が重複している

脆弱性の種類では「コード実行」が首位に

 2019年に報告された脆弱性を種類別に見ると、コード実行の脆弱性(25.3%)、クロスサイトスクリプティング(XSS)の脆弱性(17.7%)、オーバーフローの脆弱性(13.9%)、サービス妨害(DoS)の脆弱性(10.2%)、情報入手の脆弱性(10.0%)が上位を占めた。

 攻撃者に任意のコマンド実行を許してしまうコード実行の脆弱性は、2018年に続いて2年連続で最も比率が高かった。

 コード実行の脆弱性が首位に躍り出たことには理由がある。2017年はDoSの脆弱性の比率が最も高かったものの、2018年にGitHubのWebサイトがDoS攻撃で5分間程度オフラインとなったことなどを受け、企業のDoS対策が進んだ。2019年にDoSの脆弱性の比率がさほど高くなかったのはこのためだ。

発見された数が多い脆弱性の種類(出典:TheBestVPN

脆弱性が多数報告されたベンダーはMicrosoft

 1999〜2019年に脆弱性の報告件数が最も多かったベンダーの5社は、Microsoft(6814件)、Oracle(6115件)、IBM(4679件)、Google(4572件)、Apple(4512件)だった。

 これに対し、2019年単年で脆弱性の報告件数が最も多かったベンダーは、Microsoft(668件)、Google(609件)Oracle(489件)、Adobe Systems(441件)、Cisco Systems(440件)となっている。

ベンダーごとの脆弱性の数(出典:TheBestVPN

20年間の累積で最も脆弱性が多いOSは?

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

AI for エンジニアリング
「サプライチェーン攻撃」対策
1P情シスのための脆弱性管理/対策の現実解
OSSのサプライチェーン管理、取るべきアクションとは
Microsoft & Windows最前線2024
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。