脆弱性の81％がパッチ未適用、非MSアプリが全脆弱性の77.5％を占める～フレクセラ調査

　フレクセラ・ソフトウェア合同会社が4月に発表した「脆弱性レビュー2017」では、個人利用のWindows PCにインストールされた上位50位の人気アプリについて脆弱性を検証している。調査では、存在する脆弱性の81％において、修正プログラム（パッチ）が公開されているにもかかわらず適用されていない状況が明らかになったという。

　フレクセラ・ソフトウェアでは、日本国内における2016年第4四半期の調査結果を今年3月に発表しているが、今回発表されたのは、2016年通期を対象とした国別の脆弱性調査結果。調査は、インストールされたソフトウェアの脆弱性スキャンを行う個人向けユーティリティ「Personal Software Inspector」のログによるものだ。脆弱性の原因となるOS・アプリについて、Windows OSの比率は28％だった一方、Micorsoft以外のサードパーティー製プログラムは47％だった。

　サードパーティー製プログラムを個別に見ると、2016年第4四半期に危険度で1位だった「iTune 12.x」は、パッチ未適用率が57％から43％に減少して2位に後退。代わって「Oracle Java JRE 1.8.2/8.x」が1位となった。パッチ未適用率は48％だった。

　フレクセラ・ソフトウェア合同会社シニアビジネスデベロップメントマネージャーの西浦詳二氏によれば、「米国ではiTunesが1位、JREが2位」。3位の「Lhaplus」は日本のみで多いソフトで、「LHA圧縮がよく使われる国内事情を反映している」という。また、「インストール済みプログラムの数は、米国と比較して10～15％少ない」。

　パッチ未適用のユーザーは、日本では約5％で、米国の7％超と比べれば少ない。ただし、「20人に1人はパッチを適用していない」状況となる。

　また、サポートが終了したプログラムを利用しているユーザーも6.5％いる。「古いPCを長く使えば、この数字は増える傾向にある」とのことだ。サポート終了プログラムのトップ10を見ると、「Microsoft SQL Server 2005は、ライセンスフィーがかかるなどの理由で、分かって使っているユーザーだと推測されるが、XML Core Servicesは危険性が認識されていない可能性がある」とした

　そして、パッチ未適用とサポート終了プログラムの利用ユーザーを合わせて「おおざっぱに言えば、5～10％は危険な状態。この傾向はあまり過去から変わっていないが、脆弱性は増えているので、メンテナンスはしにくくなっている」との見方を示した。

　フレクセラ・ソフトウェアはもともとWindows向けのインストーラー「Install Sheild」を手がけている企業だが、2015年9月にデンマークのSecuniaを買収している。Secuniaでは、買収以前から継続して脆弱性レビューを提供している。

　調査全体を見ると、246社の2136製品について、1万7147件の脆弱性があった。また、トップ25アプリには、2048件の脆弱性が見つかっており、この数は過去5年で77％増加している。中でも「Google Chrome」には、2016年に516件の脆弱性が見つかっている。また、全PCの40％の環境で利用されているPDFリーダーは、脆弱性が多く発見されているにもかかわらず、77％の環境ではパッチが適用されていない状況だという。

　国内PCに限ると、平均で21社の64種類のアプリがインストールされている。うち28種類がMicrosoft製品で、Windowsのパッチが未適用のユーザーは5.0％。Windows以外のMicrosoft製品でパッチを適用していないユーザーも5.0％いた。Microsoft以外の製品のパッチ未適用率は13.5％だった。

　フレクセラ・ソフトウェア合同会社リージョナル・セールス＆アライアンス・ダイレクターのスクワィヤーズ・コートニー氏は、「ファイアウォールを中心とした、周囲を固めて中が柔らかいアプローチから、セキュリティが変わってきている」とし、「現在では、スマートフォンなどマルチデバイスから社内ネットワークにアクセスする環境になり、周囲は柔らかく中は堅いアプローチに変える必要がある」とした。

　脆弱性そのものは、「過去4年で徐々に増えている」が、企業では「なかなかパッチの適用ができていない」のが実情だという。また、インストールされているアプリのシェアを見ると、Micorosoft製品が71％を占めるが、脆弱性に占める割合は非Microsoft製品が77.5％と多い。しかし、フレクセラ・ソフトウェアがトラッキングしている5万アプリ以上のうちでも81％、利用率がトップ50のアプリのうち92.5％は、脆弱性の発表と同時にパッチが提供されている。

　このうち対応が必要となる脆弱性はごく一部で、危険度の高い「Critical」なものだけだと0.5％、危険度「High」のものを含めても18.5％だけなのだが、「問題は、企業ユーザーがこうした状況をほとんど知らないことだ」という。徐々に新しい脆弱性が登場している状況下においては、最新情報の入手先、脆弱性のリスク評価はもちろん「どの脆弱性が自分の環境に当てはまり、そのパッチを適用する時間があるかどうか。すべてに対応するのは難しく、優先順位の高いものから手当てするのが通常だが、その情報をどこから得るのか」がセキュリティ担当者の課題になっているとした。

　Gartnerの調査によれば、脆弱性を悪用する攻撃の8割は、検知や予防が可能なもの。また、Verizonのレポートでは、悪用される脆弱性の99.9％は公表から1年以上が経過しているという。コートニー氏は、2016年6月に発生したJTBからの個人情報漏えいが、2012年に公表済みのAdobe Flashの脆弱性を悪用し、マルウェア「Elirks」をインストールしたものであることや、2015年5月の日本年金機構への攻撃が、2014年に公表された一太郎の脆弱性を悪用したものであることに触れ、「使っているバージョンを禁止しさえすれば予防できた」と述べた。

　フレクセラ・ソフトウェアでは、脆弱性情報を公開している米NDBや日本のJVNなどの情報から、海外の掲示板などの情報までを集約し、再現性の有無や影響を受けるソフトを特定、情報精度や影響を考慮し、発表内容の標準化を行った上で、深刻度を中立の立場で評価しスコアリングし、企業向けに提供するサービスを行っている。2016年には、自社のリサーチ部門でも23の脆弱性を発見しているとのことだ。