フレクセラ・ソフトウェア合同会社(本社:イリノイ州アイタスカ、CEO:ジム・ライアン、以下 フレクセラ)は、ハッカーやセキュリティ侵害の脅威と戦っているMicrosoftと国内の個人PCユーザーにMicrosoft Windows(R)オペレーティング・システムのパッチ未適用率が減少していること(2016 年第 2 四半期時点)を発表します。これは、オペレーティング・システムによるソフトウェア脆弱性悪用のリスクが減少していると言えます。しかし、国内の個人PCにインストールされたMicrosoft以外のプログラムのパッチ未適用率は増加しています。そのため、ハッカーによる悪用のリスクは依然としてかなり高いままです。
これらの考察は、12 ヵ国を対象にした 2016 年第 2 四半期の最新国別レポートから得られたものです。このレポートは、ソフトウェア脆弱性管理ソリューションのリーディング・プロバイダである フレクセラの Secunia Research が発表しました。レポートでは、12 ヵ国の個人PC における脆弱性のあるソフトウェア製品の状況について説明しています。また、脆弱性のあるアプリケーションを示し、PC をハッカーのリスクにさらす危険度でそれらをランク付けしています。
国内レポートの主な調査結果:
・Windows オペレーティング・システムにパッチを適用していない
ユーザーは、2016年第 2 四半期は3.8 %。2016年第1四半期の
5.2%と2015年第 2 四半期の9.7%から減少。
・Microsoft以外のプログラムにパッチを適用してないユーザーは、
2016年第2四半期は13.6 %。2016年第1四半期の12.4 %と2015年
第2四半期の11.0 %から増加。
・2016年第2四半期の危険度トップ3プログラムは、
Oracle Java JRE 1.8x/8.x(パッチ未適用率49%、
市場シェア41%、脆弱性67件)、Lhaplus 1.x(パッチ未適用率
66%、市場シェア27%、脆弱性0件)、Adobe Reader XI 11.x
(パッチ未適用率51%、市場シェア30%、脆弱性215件)。
Windows オペレーティング・システムのパッチ未適用率の減少
個人PCの普及にともない、オペレーティング・システムはハッカーにとって格好のターゲットになっています。このため、オペレーティング・システムに最新のパッチを適用することは、ソフトウェア脆弱性管理で欠かせないベスト・プラクティスです。データによると、日本の個人PCユーザーはその意識が高まっています。2016 年第 2 四半期時点で Windows オペレーティング・システムにパッチを適用していないユーザーはわずか 3.8 %で、前年同期の 9.7 %から減少しています。
フレクセラの Secunia Research 担当ディレクタの Kasper Lindgaard (以下、Lindgaard)は次のように述べています。
「Windows オペレーティング・システムのパッチ未適用率の低下は目覚ましく、励みになりました。この傾向が長く続くかどうか、特に Windows 10 とその自動更新機能の導入が進むとどうなるか、興味深く見ていきたいと思います」
Windows 以外のプログラムに対する個人PC ユーザーのパッチ適用意識の低下
国内の個人PC ユーザーは、Windows オペレーティング・システムにパッチを適用する人は増えていますが、Microsoft 以外のプログラムでは減っています。Microsoft 以外のプログラムのパッチ未適用率が増加する中、データによると、対象のセキュリティ・パッチ警告を無視するユーザーが増えています。たとえば、Personal Software Inspector では、PC 上で Microsoft 以外のプログラムの脆弱性が検出されると、ユーザーにアラートが表示され、脆弱性に対するパッチが自動的に適用されます。ただし、ユーザーがこの操作を承認して自動プロセスを開始する必要があります。
Lindgaard は次のように述べています。
「ユーザーは、ソフトウェアをインストールしていても、脆弱性が見つかったときにアラートを無視してパッチ・プロセスを開始しない場合、その脆弱性のリスクにさらされ続けることになります。これは非常に残念なことであり、悪い結果につながるおそれがあります」
最も危険なプログラム
2016 年第 2 四半期の日本国内危険度トップ 3 プログラムには、直近の 4 期の四半期にわたり フレクセラの Secunia Research が確認した 282 件の脆弱性が存在します。これら 282 件の脆弱性のうち、23 件は「Extremely Critical(極めて重大)」に分類されるセキュリティ・パッチで修正され、259 件は「Highly Critical(非常に重大)」に分類されるパッチで修正されます。「Extremely Critical(極めて重大)」の脆弱性は、一般にリモートから悪用される脆弱性で、システム侵害を引き起こす可能性があります。通常は対話操作なしで悪用させることができるため、野放し状態になります。この脆弱性は、FTP、HTTP、SMTP などのサービスと、メール・アプリケーションやブラウザなどの特定のクライアント・システムに存在します。「Highly Critical(非常に重大)」の脆弱性は、一般にリモートから悪用され、システム侵害を引き起こす可能性があります。通常は対話操作なしで悪用させることができますが、開示時に利用可能な既知の悪用はありません。この脆弱性は、FTP、HTTP、SMTP などのサービスと、メール・アプリケーションやブラウザなどのクライアント・システムに存在します。
Lindgaard は次のように述べています。
「トップ 3 の製品だけでも、これだけ脆弱性が存在することは、リスクにさらされたシステムに侵入する膨大なチャンスをハッカーに与えていることを浮き彫りにしています。したがってソフトウェア脆弱性管理がとても重要になります。企業や個人がリスクを最小化するための最も簡単かつ迅速でコストのかからない方法は、既知の脆弱性が問題化する前にパッチを適用することです」
フレクセラは、ユーザーのセキュリティ維持に役立つ Personal Software Inspector(旧 Secunia PSI 3.0)を提供しています。この無料のコンピュータ・セキュリティ・スキャナでは、危険、または更新が必要なソフトウェア・アプリケーションを特定できます。すでに世界中で 800 万人以上の PC ユーザーがこれをダウンロードして、脆弱性を見つけ出し、古くなったプログラムやプラグインを確認しています。 12 ヵ国の国別レポートは、2016 年 4 月 1 日~2016 年 6 月 30 日に Personal Software Inspector で実行されたスキャンのデータに基づいています。
リソース(詳細):
・Vulnerability Intelligence Manager
http://www.flexerasoftware.jp/enterprise/products/software-vulnerability-management/vulnerability-intelligence-manager/
・Corporate Software Inspector
http://www.flexerasoftware.jp/enterprise/products/software-vulnerability-management/corporate-software-inspector/
・Personal Software Inspector
http://www.flexerasoftware.jp/enterprise/products/software-vulnerability-management/personal-software-inspector/
SNS関連
・LinkedIn
https://www.linkedin.com/company/secunia
・Twitter
https://twitter.com/Secunia
・Facebook
https://www.facebook.com/Secunia
・Google+
https://plus.google.com/+secunia/posts
・RSS
http://www.flexerasoftware.com/producer/company/news-center/news-feeds/
フレクセラ・ソフトウェア合同会社について
フレクセラ・ソフトウェアは、アプリケーション製作者や企業がアプリケーションの利用率とセキュリティを高め、ソフトウェアを通して多角的な価値を得ることができるようサポートします。フレクセラのソフトウェア・ライセンシング、コンプライアンス、サイバーセキュリティ、およびインストールの各ソリューションは、変化し続けるテクノロジのリスクとコストに対して、継続的なライセンス・コンプライアンス、ソフトウェア投資の最適化、将来に対応できる企業・団体を支援するソリューションです。25 年以上にわたり市場を牽引しているフレクセラは、中立的で信頼性の高い知見と専門技術の発信源として、また、製品を通して自動化やインテリジェンスを提供する企業として、80,000 社を超えるお客様から高く評価されています。詳細については、www.flexerasoftware.jpをご覧ください。