海の向こうの“セキュリティ”

企業の“Flash離れ”の一方で、古いバージョンのままのデバイスが半数超! ほか

企業の“Flash離れ”の一方で、古いバージョンのままのデバイスが半数超!

 米セキュリティ企業のDuo Securityは、調査レポート「The 2017 Duo Trusted Access Report」の中で、企業内の多くのデバイスが脆弱性を修正していない古い状態のまま使用されていると発表しました。

 これは、世界中のさまざまな地域のさまざまな業種の企業で使われている約460万のエンドポイントデバイスの「security health(OS、ブラウザー、プラグインの更新状況など)」を分析したもので、特に注目されているのは、一般的に脆弱性が攻撃に悪用されることが多いとされるFlash Playerについて、53%が古いままの状態であり、これは前年の調査結果42%に比べて10%以上も増えているという点です。ただし、この母数にはFlash Playerがインストールされていないものも含まれています。

※N.Americaは北米(「The 2017 Duo Trusted Access Report」より)

 インストールされているものに限定すれば、およそ7割が古いままということになります。Flash Playerが更新されていない割合は前年の調査よりも増えていますが、その一方で、インストールされていないケースも19%から25%に増えており、“Flash離れ”の傾向が見えています。

(「The 2017 Duo Trusted Access Report」より)

 なお、更新されないFlash PlayerはInternet Explorer(IE)用が多く、その割合は58%に及んでいます。一方、更新されている割合が高いのはGoogle Chromeで、65%が最新の状態になっています。

 ちなみに、Flash Playerの未更新問題については、ワクチンベンダーとして知られるAvastが今年3月に公開した2017年第1四半期の調査報告書「Avast PC Trends Report Q1 2017」において、IE用では99%が、また、他のブラウザーを含めた全体としては38%が古いままであるとの結果が出ています。ただし、Avastの調査は個人利用を含めた約1億1600万のWindowsユーザーを対象としていることに注意が必要です。

 OSに関して、まず調査対象の割合は以下のとおり。

Windows61%
OS X22%
iOS11%
Android4%
Linux1%

 Windowsは、前年の63%より少し減っています。次にWindowsの内訳は以下のとおり。

Windows XP1%
Windows 759%
Windows 81%
Windows 8.17%
Windows 1031%

 Windows 10の割合は、前年の15%から2倍以上となる31%となっています。

 ブラウザーについては、まず調査対象の割合は以下のとおり。

(「The 2017 Duo Trusted Access Report」より)

 次に、IEとEdgeに限定した場合の割合は以下のとおり。

(「The 2017 Duo Trusted Access Report」より)

 すでにサポートが終了しているIE10以下の割合が合わせて13%を占めていますが、これは前年の19%よりは減っています。一方、それぞれのブラウザーで最新版に更新されていない割合は以下のとおり。

(「The 2017 Duo Trusted Access Report」より)

 Firefox Mobileの未更新の割合が極端に高い点が目を引きます。

 今回の結果には地域差があり、EMEA(欧州、中東、アフリカ)および英国は最新版に更新されている割合が北米に比べて少し高い傾向があります。例えば、Windows 10 は北米で31%であるのに対し、EMEA では40%、また英国では37%となっています。また、Flash Player やブラウザも同様の傾向があり、この理由について報告書では EU の GDPR(General Data Protection Regulation)への対応が指摘されています。

 報告書では、業種ごとの違いについても紹介されています。まず、Windows 10の占める割合の高い業種と低い業種は以下のとおり。

(「The 2017 Duo Trusted Access Report」より)

 傾向に顕著な違いがあるのが興味深いです。一方、Mac OSについて最新版を使っている割合が高い業種は以下のとおり。

(「The 2017 Duo Trusted Access Report」より)

 逆に最新版に更新されていないMac OSを使用している業種は以下のとおり。

(「The 2017 Duo Trusted Access Report」より)

 今回の報告書ではほかにも、スマートフォンをはじめとする携帯端末のセキュリティの状況やフィッシング攻撃に対する耐性がどの程度の状態にあるかなど、さまざまな調査結果が紹介されています。本文は英語ですが、図を多用しているので英語が苦手な方でも内容を理解するのは難しくないでしょう。

 これらの結果を踏まえ、報告書ではTipsとして、二要素認証の使用やパッチの適用、Flash Playerのアンインストールなど、一般的なものを挙げているのですが、最後にGoogle Chromeの使用を推奨しています。確かにChromeにはさまざまなセキュリティ機能があり、「セキュアなブラウザー」と言われることも少なくないですが、実際にセキュアかどうかは使用形態などにもよりますし、セキュリティ企業がここまで明記するのは少々行き過ぎの感もあります。

 今回の調査の対象はDuo Securityの顧客ですので、必ずしも世の中全体の状況を示しているとは言えませんが、1つの目安にはなるでしょう。参考資料としてうまく利用してください。

 また、上で紹介したAvastの四半期レポートは、調査対象が異なるのでそのまま比較はできませんが、より多くの種類のソフトウェアの更新状況をまとめていますので、こちらも一読をお勧めします。

脆弱性情報の流通経路はさまざま、公的機関の情報だけでは不十分?

 米セキュリティ企業のRecorded Futureは、米国立標準技術研究所(NIST)の脆弱性情報データベース「NVD(National Vulnerability Database)」で公表された脆弱性の多くが、NVDより先にさまざまなかたちですでに公にされていたとする調査結果を発表しました。

 これは、2016年から2017年の間にNVDで公表された、CVE番号で1万2517件の脆弱性情報を調べたもので、NVDより先に公になっていた脆弱性は9505件で全体の約75%に及んでいます。また、公にされてからNVDで公表されるまでの日数について調べた結果、中央値(median、平均値ではない)は7日、また、少なくとも50日はあったとされるものが25%、さらに170日を超えるものは10%あったそうです。

(「Recorded Future Blog」より)

 また、5%にあたる659件は、いわゆる“Deep Web”や“Dark Web”で先に公開されており、それ以外の脆弱性よりも深刻度を示すCVSSの値が高い傾向が見られています。

(「Recorded Future Blog」より)

 さらに、英語の情報だけでは十分でないとも指摘しており、例えば、最初に登録(公表)されたのが中国の公的機関による脆弱性情報データベース「CNNVD(China National Vulnerability Database of Information Security)」である脆弱性は、約200件あったそうです。

 この調査結果は日本でも一部メディアで少々センセーショナルに報道されており、確かに脆弱性情報を安全かつ適切に流通させることの難しさの一端を示すものではあります。しかし、そもそもNVDに世の中のすべての脆弱性情報が登録されているわけではないので、NVDでの公表をもって「正式公表」とするのはかなり無理があり、NVDより先に公表されてしまう脆弱性があるのは当然のことなのです。

 それでも、今回の調査結果は、脆弱性情報自体がある種の「武器」や「兵器」のように扱われることもある今の時代に、脆弱性情報の流通経路にはさまざまなものがあり、一般的によく知られている公的機関からの公開情報を追うだけでは十分ではない(かもしれない)という現実を世に知らしめた効果はあったと言えるでしょう。

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。