ソフトウェア脆弱性は2019年にどう変わったのか？　TheBestVPN.comが報告：コード実行の脆弱性が多い

TheBestVPN.comは主要なOSやWebブラウザなどで2019年に見つかった脆弱性を調査した結果を発表した。NIST（米国国立標準技術研究所）の「National Vulnerability Database」を基に分析した。OSでは「Android」、アプリケーションソフトウェアでは「Adobe Flash Player」の脆弱性が最も多かった。

» 2020年03月11日 20時00分公開

[＠IT]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

　TheBestVPN.comは2020年3月6日（米国時間）、主要なOSやWebブラウザなどで見つかった脆弱（ぜいじゃく）性を調査した結果を発表した。NIST（米国国立標準技術研究所）の「National Vulnerability Database」を基にして、2019年に見つかった脆弱性を対象とした。

　2019年に脆弱性が最も多く報告されたソフトウェアの他、脆弱性の種類ごとの比率、脆弱性が多数報告されたベンダーやOS、脆弱性のリスクが高かったソフトウェアなどを報告している。1999～2019年の20年間にわたる状況にも触れている。

脆弱性が最も多く報告されたソフトウェアは「Android」

　2019年に報告された脆弱性の総数は1万2174件。そのうち報告件数が最も多かったソフトウェアは「Android」（414件）だった。Androidは2016年と2017年にも報告件数が最も多かった。

　なお、2018年は1万6556件の脆弱性が報告されており、件数が最も多かったのは「Debian GNU/Linux」（1197件）だった。

　TheBestVPN.comはiOSがリストに含まれていないことに注目している。

各年に最も脆弱性の報告が多かったソフトウェア（出典：TheBestVPN）　The Best VPNによれば、一部のソフトウェアについては報告が重複している

脆弱性の種類では「コード実行」が首位に

　2019年に報告された脆弱性を種類別に見ると、コード実行の脆弱性（25.3％）、クロスサイトスクリプティング（XSS）の脆弱性（17.7％）、オーバーフローの脆弱性（13.9％）、サービス妨害（DoS）の脆弱性（10.2％）、情報入手の脆弱性（10.0％）が上位を占めた。

　攻撃者に任意のコマンド実行を許してしまうコード実行の脆弱性は、2018年に続いて2年連続で最も比率が高かった。

　コード実行の脆弱性が首位に躍り出たことには理由がある。2017年はDoSの脆弱性の比率が最も高かったものの、2018年にGitHubのWebサイトがDoS攻撃で5分間程度オフラインとなったことなどを受け、企業のDoS対策が進んだ。2019年にDoSの脆弱性の比率がさほど高くなかったのはこのためだ。

発見された数が多い脆弱性の種類（出典：TheBestVPN）

脆弱性が多数報告されたベンダーはMicrosoft

　1999～2019年に脆弱性の報告件数が最も多かったベンダーの5社は、Microsoft（6814件）、Oracle（6115件）、IBM（4679件）、Google（4572件）、Apple（4512件）だった。

　これに対し、2019年単年で脆弱性の報告件数が最も多かったベンダーは、Microsoft（668件）、Google（609件）Oracle（489件）、Adobe Systems（441件）、Cisco Systems（440件）となっている。

ベンダーごとの脆弱性の数（出典：TheBestVPN）

20年間の累積で最も脆弱性が多いOSは？

　1999～2019年の20年間の累積と2019年単年に脆弱性の報告件数が最も多かったOSなどのソフトウェアは、次の図の通りだ。

1999～2019年に脆弱性が多かったソフトウェアと、2019年単年に多かったソフトウェア（出典：TheBestVPN）

　2019年にAndroidが首位を占めていることには理由がある。Androidスマートフォンはサードパーティーアプリケーションがプリインストールされており、そのためにユーザーを未確認のバグの危険にさらしてしまうためだ。

　2019年の2位は、1999～2019年の首位でもあるDebianだ。ただし、TheBestVPN.comは、Debianについて、「脆弱性を通常数日以内に修正している」と評価した。

　3～5位の「Windows Server 2016」「Windows 10」「Windows Server 2019」は、いずれもMicrosoft製品だ。

脆弱性のリスクが高かったソフトウェアはAdobe製品に集中

　1999～2019年に脆弱性が報告されたソフトウェアについて、「Common Vulnerability Scoring System（CVSS）」スコアの平均値で脆弱性のリスクを調べると、リスクの高い15製品は図のようになった。Adobe製品が1位と2位を占めた。

脆弱性のリスクが高いソフトウェア（出典：TheBestVPN）　CVSSスコアの平均値を示した

新たなWebハッキング技術、2019年に登場したトップ10をPortSwiggerが発表
サイバーセキュリティツールベンダーのPortSwiggerは、2019年の新しいWebハッキング技術についてトップ10を発表した。Googleの検索ボックスだけを使うといった全く新しい攻撃手法はもちろん、既存の複数の手法を組み合わせて新たな攻撃を作り上げたものなど、「価値ある」攻撃手法を取り上げた。
狙われるWebアプリケーション、何が起こるのか
当連載ではWebアプリケーションのセキュリティがどのような状況にあり、どのような攻撃や防御策があるのかを紹介していく。第1回はWebアプリケーションがどのように狙われているのか、概要を紹介する。Webアプリケーションに向けた攻撃は数多く、規模も大きい。主に4つの部分が攻撃にさらされており、被害の内容は異なる。
深夜のXSS講座も？　サイボウズのバグハンター合宿がやたら楽しそうな件
ソフトウェアに含まれるバグや脆弱性を見つける者たちが1カ所に集まり、集中的に脆弱性を見つけ出す「バグハンター合宿」をサイボウズが開催した。なぜ、わざわざ脆弱性報奨金制度を展開し、合宿まで実施するのだろうか。