ゼロデイ脆弱性の発見を任務とするGoogleのセキュリティチーム「Project Zero」は、2021年の活動をまとめたレポートを公開した。報告された脆弱性が修正されるまでにかかった時間は、平均で52日間だった。
提供:Google
Project Zeroは、脆弱性を報告してから90日後に情報を開示するという同チームが定めたルールに従って、2019年から2021年の間に376件の脆弱性をベンダーに報告した。
レポートによれば、これらの問題のうち実際に修正されたのは93.4%で、3.7%がベンダーによって「WontFix」(修正対応を行わない)に分類されたという。
そのほか、11件のバグが未修正で、うち8件は修正期限を過ぎている。また、発見された脆弱性のうち、65%をMicrosoft、Apple、Googleのものが占めていた。最も件数が多かったのはMicrosoftの96件で、Appleは85件、Gooogleは60件だった。
Project Zeroは、レポートの中で「全体として言えば、このデータは、大手ベンダーのほとんどが、平均では90日以内に修正を終えていることを示している。猶予期間中に公開されたパッチの多くは、AppleとMicrosoftのものだった(34件中22件)。対象期間中に、修正期限または猶予期限までに修正されなかった件数は全体の約5%だった」と述べている。
レポートでは、修正までにかかる時間が減少し続けていることを示す統計データも挙げている。特に、MicrosoftやApple、Linuxでは改善が見られ、2019年から2021年にかけて、毎年修正に要する時間が短縮された。これに対して、Googleは2020年には改善されたものの、2021年には再び修正に要する時間が長くなっている。
2021年は、報告から90日後の修正期限に間に合わなかったのは1件だけで、2019年と2020年の年平均9件と比較すると大幅に減った。
スマートフォンの脆弱性に関しては、最も多かったのは「iOS」デバイスの76件で、サムスン製「Android」デバイスの10件、GoogleのAndroidデバイス「Pixel」の6件がそれに続いた。
ブラウザーでは、「Chrome」に40件の脆弱性が発見され、パッチの公開までに要した平均日数は5.3日だった。「WebKit」は件数が27件、平均修正日数が11.6日、「Firefox」は件数が8件、平均修正日数が16.6日だった。
Project Zeroは、今回の調査結果は全体的に状況が改善していることを示しており、多くのベンダーが発見された修正のほとんどを修正していたと述べている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。