ソフトウェア脆弱性を正しく怖がるための「28の真実」：古い脆弱性に対応するだけでも被害は激減

Comparitech.comはサイバーセキュリティに関わる脆弱性について、最新の状況を示す28の重要な統計と事実を取り上げて紹介した。2021年第4四半期にはゼロデイマルウェアが全脅威の3分の2を占めた。だが、同時に84％の企業のネットワーク境界に高リスクの脆弱性が残っていた。企業や個人はまず古い脆弱性に対応するとよいだろう。

[＠IT]

　比較サイトのComparitech.comは2022年8月2日（英国時間）、サイバーセキュリティの脆弱（ぜいじゃく）性について最新の状況を示す28の重要な統計と事実を取り上げ、紹介した。

　ここでいう脆弱性とは、攻撃者が正規の権限なくネットワークやシステムにアクセスできるようになるソフトウェア上の欠陥を指す。ソフトウェアに脆弱性があると、企業や個人は、マルウェアによる不正な操作やアカウントの乗っ取りなど、さまざまな脅威にさらされる。

　脆弱性の数は非常に多く、悪用された場合の影響も多岐にわたる。米国国立標準技術研究所（NIST）のNVD（National Vulnerability Database：国家脆弱性データベース）には、現在、17万6000件以上のエントリーがあるほどだ。

　脆弱性のうち、最も有名な例の一つは「EternalBlueエクスプロイト」を介した「WannaCry」ランサムウェア攻撃を可能にした「CVE-2017-0144」（Windowsの脆弱性）だ。CVE（Common Vulnerabilities and Exposures）とは、米国政府の支援を受けた非営利団体のMITREが管理する識別子だ。WannaCryの他にも、複数の脆弱性を悪用して拡散する「Mirai」botネットが有名だ。

　脆弱性が発見されると、開発者は通常、更新プログラム（パッチ）をリリースするための作業に入る。攻撃者が脆弱性を悪用する前に、全てのユーザーが更新プログラムをインストールすることが理想的だ。しかし現実には、攻撃者は既知の弱点を利用するために発見後、数分単位で攻撃を始める場合もある。さらに、更新プログラムがリリースされたとしても、ユーザーがインストールするまでに時間がかかるため、脆弱性が発見されてから何年もたって攻撃者が脆弱性を悪用する場合もある。

（1）2022年第1四半期に公開された脆弱性は8000件以上

　NVDには、2022年第1四半期に公開された脆弱性が8051件登録されている。これは2021年同期比で約25％多い。