セキュリティソフトウェアプロバイダーのSecuniaは先週、年次レポート「Secunia Vulnerability Review 2015」を公開した。これによると、2014年には3870種のソフトウェアに存在していた1万5435件の脆弱性が報告されたという。
同レポートによると、2013年と比較すると脆弱性の数が18%増加し、ソフトウェアの数も22%増加している。しかし、このレポートに目を通していない限り、最も脆弱性を多く抱えていたソフトウェアの名前を当てられる人はほとんどいないだろう。
1位は504件の脆弱性が報告された「Google Chrome」だ。その後に「Oracle Solaris」(483件)、「Gentoo Linux」(350件)、Microsoftの「Internet Explorer(IE)」(289件)が続く。なお、Appleの「OS X」は147件で13位、Microsoftの「Windows 8」は105件で20位だった。
上位20位に入ったMicrosoftのソフトウェアは2本だけで、最も多かったのはIBMの8本だった。「IBM Tivoli Endpoint Manager」はIBMのソフトウェアのなかで最多となる258件の脆弱性を抱えて6位となっている。その後には「IBM Tivoli Storage Productivity Center」(231件)、「IBM Websphere Application Server」(210件)、「IBM Domino」(177件)、「IBM Notes」(174件)、「IBM Tivoli Composite Application Manager For Transactions」(136件)、「IBM Tivoli Application Dependency Discovery Manager」(122件)、「IBM Websphere Portal」(107件)が続く。詳しくは以下の表を参照してほしい。
脆弱性が多かった20の主要プログラム
提供:Secunia
同一企業による複数のアプリに共通の脆弱性が存在することもあるため、IBMの結果は一見するほど悪くはないと思われる。また、多くの脆弱性が記録されたことは、必ずしもプログラムが安全でないことを意味するわけではない。脆弱性を発見し修正することは、Chromeを最も安全性の高いブラウザにするのに役立っている。しかし、このことはパッチを真剣に捉える必要があることを意味してもいる。
幸い、「パッチ提供までの時間」は引き続き短縮された。Secuniaは、1万5435件の脆弱性のうち「83%について、脆弱性情報が一般に公開された日のうちにセキュリティパッチが提供された」としている。
Microsoftのアプリケーション(「Windows 7」を含む)は、最も頻繁にPCにインストールされるプログラム上位50のうち69%を占めたが、脆弱性のうち23%しか占めていない。この数値は2007年には43%だったが、2012年には14%になっていた。
Windows 8は明らかに最も脆弱性の多いバージョンだが、その数は2013年の156から2014年には105に減少した。Windows 7については102から33になった。Windows XPでは99から5に減少。これはMicrosoftが2014年4月にサポートを終了したのが主な要因だ。
例のごとくウェブブラウザが上位50プログラムのうち最も多くを占めた。GoogleのChromeがトップで504件の脆弱性を記録し、IE(289件)とMozillaの「Firefox」(171件)をはるかに上回った。Appleの「Safari」は92件だった。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。