最も危ういプログラムのトップ10、フレクセラが発表

國谷武史 (編集部) 2017年04月06日 16時33分

  • このエントリーをはてなブックマークに追加

 ソフトウェアの資産管理や脆弱性管理を手掛けるフレクセラ・ソフトウェアは4月6日、脆弱性やパッチの適用状況などを調べた2016年版のレポートを公表した。日本ではPCユーザーの5%がWindowsのパッチを適用しておらず、6.5%はサポートが終了したソフトウェアをインストールしていた。

 それによると、国内PCユーザーは平均で21ベンダーの64種類のプログラムをインストールしており、このうち28種類がマイクロソフト製品だった。Windows OSのパッチを適用していないユーザーは5.0%で、Windows以外の同社製品でパッチを適用していないユーザーも5.0%いた。マイクロソフト以外の製品のパッチ未適用率は13.5%だった。

 この調査は、同社が2015年9月に買収したセキュリティ企業Secuniaの脆弱性管理ツール「Personal Software Inspector」の統計情報をもとに算出したもの。同ツールは世界で800万ユーザーが導入しており、日本では11万ユーザーが利用しているという。

日本で危ういソフトウェア


Courtney Squires氏

 リージョナル・セールス&アライアンス・ダイレクターのCourtney Squires氏によると、旧Secunia時代から世界中のソフトウェアの脆弱性情報を収集し、独自に危険度などを分析した結果を加味して、ISVや企業のセキュリティ担当者などに提供している。

 こうした知見をもとに調査では、パッチの適用と市場でのインストール状況から、危ういソフトウェアのランキングを算出した。日本のトップ10とパッチの未適用率、市場シェア、2016年に新たに報告された脆弱性件数は、以下の通り。

  1. Oracle Java JRE 1.8.x/8.x--48%--41%--39件
  2. Apple iTunes 12.x--43%--41%--52件
  3. Lhaplus 1.x--65%--26%--0件
  4. Adobe Reader XI 11.x--43%--30%--227件
  5. VLC Media Player 2.x--48%--18%--7件
  6. Google Picasa 3.x--67%--7%--0件
  7. Adobe Acrobat Reader DC 15.x-12%--89%--114件
  8. Microsoft Internet Explorer 11.x--5%--89%--227件
  9. Oracle Java JDK 1.8.x/8.x--62%--6%--39件
  10. Adobe Shockwave Player 12.x--45%--7%--0件

 シニアビジネスデベロップメントマネージャーの西浦詳二氏によれば、Oracle Java JRE 1.8.x/8.xとApple iTunes 12.xは、米国でも上位2つに入っており、日米で大きな違いは見られないものの、日本ではLhaplus 1.xがランキングしている点がユニークだという。また、2016年に脆弱性の報告が無かった3種類のソフトウェアは、古い脆弱性を抱えた状態で多くのユーザーが利用していると推測され、危険な状態だと指摘している。

 また、ベンダーのサポートが終了していながら市場シェアの高いソフトウェアのトップ10は以下の通りだった。

  1. Microsoft SQL Server 2005 Compact Edition--55%
  2. Microsoft XML Core Services(MSXML) 5.x--53%
  3. Apple QuickTime 7.x--33%
  4. Adobe Flash Player 21.x--29%
  5. Adobe Flash Player 20.x--27%
  6. Adobe Flash Player 21.x--24%
  7. Adobe Flash Player 23.x--21%
  8. 7-zop 9.x--18%
  9. Oracle Java JRE 1.7.x/7.x--17%
  10. Google Chrome 49.x--14%

西浦詳二氏

 これについて西浦氏は、「SQL Server 2015については、コスト面などを理由に危険な状態を認識しながら利用するユーザーが多いとみられるが、MSXMLではサポートが終了していることを知らないユーザーが多いのではないかと推測される」と話す。

 Squires氏は、新たに公表される脆弱性の数が年々増加している一方で、サイバー攻撃に悪用される脆弱性の多くは公表から1年以上前のものだと指摘する。適切な脆弱性管理とパッチ適用を実施していれば、サイバー攻撃に悪用されるリスクを低減できるものの、多忙なIT管理者が脆弱性情報を常に把握することは難しく、対応が遅れてしまうという。

 同社では脆弱性管理に必要な情報を提供しているとし、日本語によるサービス提供も検討しているという。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]