サードパーティ製プログラムの脆弱性、危険性が増加~Secuniaが報告書


 デンマークのセキュリティ企業Secuniaは14日、2011年の年間報告書を公開した。さまざまなソフトウェアに含まれている脆弱性を修正することの重要性をあらためて指摘し、全企業がパッチを当てるプロセスを考慮すべきだとしている。

 興味深いことに、脆弱性の件数に関しては、Microsoft以外のサードパーティ製プログラムの割合が増化傾向にあることが判明した。そのため、使用しているプログラムを把握し、すべての脆弱性を修正する作業の複雑性がリスクを増大させている。

 Secuniaの統計によると、典型的なエンドポイントにおけるサードパーティ製プログラムの脆弱性件数の割合は、2006年に45%だった。この時点ではMicrosoft製品に含まれている脆弱性の多さが問題となっていた。しかし2011年には、サードパーティ製プログラムの割合が78%にまで増加したとしている。実際、脆弱性の割合ではMicrosoft製OSは12%、その他のMicrosoft製品の脆弱性は10%にとどまっていた。

 注目すべきことに、全ソフトウェアの脆弱性の件数全体は2011年に減少したにもかかわらず、ソフトウェア開発企業や開発者(商用、オープンソースを含む)の5年間のトレンドをみると、脆弱性を減らすことに成功した企業または団体は「1つもなかった」という。このことは脆弱性を減らす努力が引き続き重要であると同時に、ユーザーの観点からは脆弱性をきちんと修正しておくことの重要性を示している。

 エンドポイントこそが攻撃者にとってのターゲットになっていることも、Secuniaでは指摘している。そこにビジネス上または個人情報の中の重要なデータが集積されているにもかかわらず、最も保護されていないからだ。

 エンドポイントにインストールされているソフトウェアの管理の難しさもあるという。インストールされている典型的なソフトウェア上位50製品を調べてみると、ベンダー12社の製だった。内訳はMicrosoft製が28製品、サードパーティ製が22製品。これらのソフトウェアすべてでパッチを適用するためには、Microsoft Update以外に、11種類のアップデート方法を用意する必要があり、それだけで複雑性が増している。それ以外にも、使用しているソフトウェアのマーケットシェアが多いからといって安心できないことや、逆に一般的でないソフトウェアも犯罪者が攻撃対象にすることにも注意を促している。


関連情報

(青木 大我 taiga@scientist.com)

2012/2/15 11:20