TheBestVPN.comは主要なOSやWebブラウザなどで2019年に見つかった脆弱性を調査した結果を発表した。NIST(米国国立標準技術研究所)の「National Vulnerability Database」を基に分析した。OSでは「Android」、アプリケーションソフトウェアでは「Adobe Flash Player」の脆弱性が最も多かった。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
TheBestVPN.comは2020年3月6日(米国時間)、主要なOSやWebブラウザなどで見つかった脆弱(ぜいじゃく)性を調査した結果を発表した。NIST(米国国立標準技術研究所)の「National Vulnerability Database」を基にして、2019年に見つかった脆弱性を対象とした。
2019年に脆弱性が最も多く報告されたソフトウェアの他、脆弱性の種類ごとの比率、脆弱性が多数報告されたベンダーやOS、脆弱性のリスクが高かったソフトウェアなどを報告している。1999〜2019年の20年間にわたる状況にも触れている。
2019年に報告された脆弱性の総数は1万2174件。そのうち報告件数が最も多かったソフトウェアは「Android」(414件)だった。Androidは2016年と2017年にも報告件数が最も多かった。
なお、2018年は1万6556件の脆弱性が報告されており、件数が最も多かったのは「Debian GNU/Linux」(1197件)だった。
TheBestVPN.comはiOSがリストに含まれていないことに注目している。
2019年に報告された脆弱性を種類別に見ると、コード実行の脆弱性(25.3%)、クロスサイトスクリプティング(XSS)の脆弱性(17.7%)、オーバーフローの脆弱性(13.9%)、サービス妨害(DoS)の脆弱性(10.2%)、情報入手の脆弱性(10.0%)が上位を占めた。
攻撃者に任意のコマンド実行を許してしまうコード実行の脆弱性は、2018年に続いて2年連続で最も比率が高かった。
コード実行の脆弱性が首位に躍り出たことには理由がある。2017年はDoSの脆弱性の比率が最も高かったものの、2018年にGitHubのWebサイトがDoS攻撃で5分間程度オフラインとなったことなどを受け、企業のDoS対策が進んだ。2019年にDoSの脆弱性の比率がさほど高くなかったのはこのためだ。
1999〜2019年に脆弱性の報告件数が最も多かったベンダーの5社は、Microsoft(6814件)、Oracle(6115件)、IBM(4679件)、Google(4572件)、Apple(4512件)だった。
これに対し、2019年単年で脆弱性の報告件数が最も多かったベンダーは、Microsoft(668件)、Google(609件)Oracle(489件)、Adobe Systems(441件)、Cisco Systems(440件)となっている。
1999〜2019年の20年間の累積と2019年単年に脆弱性の報告件数が最も多かったOSなどのソフトウェアは、次の図の通りだ。
2019年にAndroidが首位を占めていることには理由がある。Androidスマートフォンはサードパーティーアプリケーションがプリインストールされており、そのためにユーザーを未確認のバグの危険にさらしてしまうためだ。
2019年の2位は、1999〜2019年の首位でもあるDebianだ。ただし、TheBestVPN.comは、Debianについて、「脆弱性を通常数日以内に修正している」と評価した。
3〜5位の「Windows Server 2016」「Windows 10」「Windows Server 2019」は、いずれもMicrosoft製品だ。
1999〜2019年に脆弱性が報告されたソフトウェアについて、「Common Vulnerability Scoring System(CVSS)」スコアの平均値で脆弱性のリスクを調べると、リスクの高い15製品は図のようになった。Adobe製品が1位と2位を占めた。
Copyright © ITmedia, Inc. All Rights Reserved.