最も危ういプログラムのトップ10、フレクセラが発表 – ZDNet Japan

Home » 05人事・人材開発 » 最も危ういプログラムのトップ10、フレクセラが発表 – ZDNet Japan
05人事・人材開発, CDP コメントはまだありません



 ソフトウェアの資産管理や脆弱性管理を手掛けるフレクセラ・ソフトウェアは4月6日、脆弱性やパッチの適用状況などを調べた2016年版のレポートを公表した。日本ではPCユーザーの5%がWindowsのパッチを適用しておらず、6.5%はサポートが終了したソフトウェアをインストールしていた。

 それによると、国内PCユーザーは平均で21ベンダーの64種類のプログラムをインストールしており、このうち28種類がマイクロソフト製品だった。Windows OSのパッチを適用していないユーザーは5.0%で、Windows以外の同社製品でパッチを適用していないユーザーも5.0%いた。マイクロソフト以外の製品のパッチ未適用率は13.5%だった。

 この調査は、同社が2015年9月に買収したセキュリティ企業Secuniaの脆弱性管理ツール「Personal Software Inspector」の統計情報をもとに算出したもの。同ツールは世界で800万ユーザーが導入しており、日本では11万ユーザーが利用しているという。

日本で危ういソフトウェア


Courtney Squires氏

 リージョナル・セールス&アライアンス・ダイレクターのCourtney Squires氏によると、旧Secunia時代から世界中のソフトウェアの脆弱性情報を収集し、独自に危険度などを分析した結果を加味して、ISVや企業のセキュリティ担当者などに提供している。

 こうした知見をもとに調査では、パッチの適用と市場でのインストール状況から、危ういソフトウェアのランキングを算出した。日本のトップ10とパッチの未適用率、市場シェア、2016年に新たに報告された脆弱性件数は、以下の通り。

  1. Oracle Java JRE 1.8.x/8.x–48%–41%–39件
  2. Apple iTunes 12.x–43%–41%–52件
  3. Lhaplus 1.x–65%–26%–0件
  4. Adobe Reader XI 11.x–43%–30%–227件
  5. VLC Media Player 2.x–48%–18%–7件
  6. Google Picasa 3.x–67%–7%–0件
  7. Adobe Acrobat Reader DC 15.x-12%–89%–114件
  8. Microsoft Internet Explorer 11.x–5%–89%–227件
  9. Oracle Java JDK 1.8.x/8.x–62%–6%–39件
  10. Adobe Shockwave Player 12.x–45%–7%–0件

 シニアビジネスデベロップメントマネージャーの西浦詳二氏によれば、Oracle Java JRE 1.8.x/8.xとApple iTunes 12.xは、米国でも上位2つに入っており、日米で大きな違いは見られないものの、日本ではLhaplus 1.xがランキングしている点がユニークだという。また、2016年に脆弱性の報告が無かった3種類のソフトウェアは、古い脆弱性を抱えた状態で多くのユーザーが利用していると推測され、危険な状態だと指摘している。

 また、ベンダーのサポートが終了していながら市場シェアの高いソフトウェアのトップ10は以下の通りだった。

  1. Microsoft SQL Server 2005 Compact Edition–55%
  2. Microsoft XML Core Services(MSXML) 5.x–53%
  3. Apple QuickTime 7.x–33%
  4. Adobe Flash Player 21.x–29%
  5. Adobe Flash Player 20.x–27%
  6. Adobe Flash Player 21.x–24%
  7. Adobe Flash Player 23.x–21%
  8. 7-zop 9.x–18%
  9. Oracle Java JRE 1.7.x/7.x–17%
  10. Google Chrome 49.x–14%


西浦詳二氏

 これについて西浦氏は、「SQL Server 2015については、コスト面などを理由に危険な状態を認識しながら利用するユーザーが多いとみられるが、MSXMLではサポートが終了していることを知らないユーザーが多いのではないかと推測される」と話す。

 Squires氏は、新たに公表される脆弱性の数が年々増加している一方で、サイバー攻撃に悪用される脆弱性の多くは公表から1年以上前のものだと指摘する。適切な脆弱性管理とパッチ適用を実施していれば、サイバー攻撃に悪用されるリスクを低減できるものの、多忙なIT管理者が脆弱性情報を常に把握することは難しく、対応が遅れてしまうという。

 同社では脆弱性管理に必要な情報を提供しているとし、日本語によるサービス提供も検討しているという。






コメントを残す