ソフトウェア脆弱性は2019年にどう変わったのか? TheBestVPN.comが報告:コード実行の脆弱性が多い
TheBestVPN.comは主要なOSやWebブラウザなどで2019年に見つかった脆弱性を調査した結果を発表した。NIST(米国国立標準技術研究所)の「National Vulnerability Database」を基に分析した。OSでは「Android」、アプリケーションソフトウェアでは「Adobe Flash Player」の脆弱性が最も多かった。
TheBestVPN.comは2020年3月6日(米国時間)、主要なOSやWebブラウザなどで見つかった脆弱(ぜいじゃく)性を調査した結果を発表した。NIST(米国国立標準技術研究所)の「National Vulnerability Database」を基にして、2019年に見つかった脆弱性を対象とした。
2019年に脆弱性が最も多く報告されたソフトウェアの他、脆弱性の種類ごとの比率、脆弱性が多数報告されたベンダーやOS、脆弱性のリスクが高かったソフトウェアなどを報告している。1999〜2019年の20年間にわたる状況にも触れている。
脆弱性が最も多く報告されたソフトウェアは「Android」
2019年に報告された脆弱性の総数は1万2174件。そのうち報告件数が最も多かったソフトウェアは「Android」(414件)だった。Androidは2016年と2017年にも報告件数が最も多かった。
なお、2018年は1万6556件の脆弱性が報告されており、件数が最も多かったのは「Debian GNU/Linux」(1197件)だった。
TheBestVPN.comはiOSがリストに含まれていないことに注目している。
脆弱性の種類では「コード実行」が首位に
2019年に報告された脆弱性を種類別に見ると、コード実行の脆弱性(25.3%)、クロスサイトスクリプティング(XSS)の脆弱性(17.7%)、オーバーフローの脆弱性(13.9%)、サービス妨害(DoS)の脆弱性(10.2%)、情報入手の脆弱性(10.0%)が上位を占めた。
攻撃者に任意のコマンド実行を許してしまうコード実行の脆弱性は、2018年に続いて2年連続で最も比率が高かった。
コード実行の脆弱性が首位に躍り出たことには理由がある。2017年はDoSの脆弱性の比率が最も高かったものの、2018年にGitHubのWebサイトがDoS攻撃で5分間程度オフラインとなったことなどを受け、企業のDoS対策が進んだ。2019年にDoSの脆弱性の比率がさほど高くなかったのはこのためだ。
脆弱性が多数報告されたベンダーはMicrosoft
1999〜2019年に脆弱性の報告件数が最も多かったベンダーの5社は、Microsoft(6814件)、Oracle(6115件)、IBM(4679件)、Google(4572件)、Apple(4512件)だった。
これに対し、2019年単年で脆弱性の報告件数が最も多かったベンダーは、Microsoft(668件)、Google(609件)Oracle(489件)、Adobe Systems(441件)、Cisco Systems(440件)となっている。
20年間の累積で最も脆弱性が多いOSは?
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
新たなWebハッキング技術、2019年に登場したトップ10をPortSwiggerが発表
サイバーセキュリティツールベンダーのPortSwiggerは、2019年の新しいWebハッキング技術についてトップ10を発表した。Googleの検索ボックスだけを使うといった全く新しい攻撃手法はもちろん、既存の複数の手法を組み合わせて新たな攻撃を作り上げたものなど、「価値ある」攻撃手法を取り上げた。
狙われるWebアプリケーション、何が起こるのか
当連載ではWebアプリケーションのセキュリティがどのような状況にあり、どのような攻撃や防御策があるのかを紹介していく。第1回はWebアプリケーションがどのように狙われているのか、概要を紹介する。Webアプリケーションに向けた攻撃は数多く、規模も大きい。主に4つの部分が攻撃にさらされており、被害の内容は異なる。
深夜のXSS講座も? サイボウズのバグハンター合宿がやたら楽しそうな件
ソフトウェアに含まれるバグや脆弱性を見つける者たちが1カ所に集まり、集中的に脆弱性を見つけ出す「バグハンター合宿」をサイボウズが開催した。なぜ、わざわざ脆弱性報奨金制度を展開し、合宿まで実施するのだろうか。