Windows Server 2003とJava 7は危険度高し、脆弱性統計で判明

JVN iPediaの登録状況から「危険」に分類される脆弱性の割合が全体平均よりも極めて高いことが分かった。

[ITmedia]

危険・警告・注意別の割合。数字は登録数（JVN iPediaを基に作成）

　情報処理推進機構（IPA）は4月22日、脆弱性対策情報データベース「JVN iPedia」の登録状況を発表した。直近の1年間でみると、間もなくサポート切れになるWindows Server 2003やJava SE7では「危険」な脆弱性ばかりであることが分かった。

　2014年4月から2015年3月に登録された脆弱性は、3段階評価で「危険」（CVSS基本値が7.0〜10.0）レベルが1737件、「警告」（同4.0〜6.9）レベルが4691件、「注意」（同0.0〜3.9）レベルが565件の計6993件だった。Windows Server 2003は49件、JRE 7（Java SE7の一部）は88件あった。

　3段階評価の割合でみると、「危険」レベルの脆弱性は登録全体では24.8％だったものの、Windows Server 2003では63.3％、JRE 7では46.6％に達し、「危険」な脆弱性が占める割合が極めて高いことが判明した。

　JRE 7は4月末に、Windows Server 2003は7月15日にベンダーのサポートが終了。終了後は脆弱性を修正するプログラムが配布されなくなり、放置されてしまう。放置された脆弱性がサイバー攻撃に悪用されれば、システムが乗っ取られたり、情報を盗み取られたりするなど深刻な被害になる恐れも。

　Windows Server 2003とJava SE7を使用するシステムではベンダーがサポートする新しい環境への移行や使用停止などの対応が必須になっている。