2006年に発見された脆弱性、今年8月時点で昨年を上回る

 米インターネット・セキュリティ・システムズ(ISS)によると、今年1月から8月までに発見された新たな脆弱性の数は5,300件に達しており、2005年の5,195件をすでに上回っているという。

 5,300件の脆弱性のうち、MicrosoftのOSに関するものが871件、Unixに関するものが701件だったが、多くの脆弱性はプラットフォームを越えてLinuxを含めたすべてのOSに影響を及ぼす。そのため、ISSでX-Force研究グループのディレクターを務めるギュンター・オルマン氏は、およそ3,219件の脆弱性がすべてのOSに影響を及ぼすと指摘している。その数の算出の根拠については「Linuxにはバージョンが多々あるため、Linuxをベースにしている」という(オルマン氏)。

 ISSは、脆弱性を重大(増殖力が高いワームを作るために悪用されるおそれがある)、高(ソフトウェアを実行するホストの管理を乗っ取るために悪用されるおそれがあるり)、中(不正なファイルアクセスや権限引き上げを行うために悪用されるおそれがある)、低(情報を漏洩させたり、DoS攻撃を許したりする脆弱性)という4つのランクに分けている。2006年に発見された脆弱性をこのランクで分類すると、重大が0.4%、高が16.6%が、中63%、低20%となるという。

 また、今年に全脆弱性のうち、87.6%がリモートから、10.8%がローカル・ホストから、1.6%がリモートとローカルの双方から攻撃を受けるおそれがある。

 唯一のよい知らせは、危険性が重大と高である脆弱性の割合が、2005年が28%だったのに対し、20%に低下していることだ。

 ISSは現在、9月のデータを集計しているところだが、オルマン氏は年末までにさらに脆弱性が急増すると予測している。また、同氏は「第4四半期が脆弱性が最も発生するため忙しい」と延べ、この10年間のうち、最もたくさん脆弱性を発見したのは、1件の危険度高の脆弱性を含む合計501件の脆弱性を発見した「r0t,」という名の人物だということを明かした。

(エレン・メスマー/Network World オンライン米国版)

提供:Computerworld.jp