脆弱性の大多数、正式公表前に情報露呈 闇サイトや中国サイトで先に公開されるケースも
脆弱(ぜいじゃく)性の75%は、脆弱性情報データベースで公表される前から情報が出回っていたことが判明。5%は公表前に、ディープWebやダークWebに詳しい情報が掲載されていた。
MicrosoftやGoogleといった大手の製品に存在する脆弱(ぜいじゃく)性の大多数は、正式に公表される前からインターネットへの投稿や闇サイトを通じて情報が露呈している――。セキュリティ企業のRecorded Futureが6月7日、そんな調査結果を発表した。
Recorded Futureでは米国立標準技術研究所(NIST)の脆弱性情報データベース(NVD)で2016年から2017年にかけて公表された、1万2517件の脆弱性について、発覚してからNVDを通じて情報が正式に公表されるまでの日数などを調べた。
その結果、脆弱性の75%は、NVDで公表される以前から情報が出回っていたことが判明した。NVDを通じて公表されるまでの日数は、平均で7日前後だったが、50日以上かかった脆弱性は25%、170日以上かかった脆弱性も10%を占めていた。
全体の5%に当たる659件の脆弱性については、NVDの公表前に、ディープWebやダークWebなどの闇サイトに詳しい情報が掲載されていた。この中にはGoogle、Apple、Microsoft、Oracleといった大手の製品の脆弱性情報が含まれていて、深刻度も予想以上に高かった。
また、英語の情報だけに頼っていては、最新情報を追い切れない実態も判明した。約200件の脆弱性に関する情報は、中国の国家機関が運営する脆弱性情報データベースに最初に登録されていたという。
脆弱性が発覚してからNVDで公表されるまでの日数は、メーカーによって差があることも分かった。Adobeは平均で1日、Microsoftは2日だったのに対し、OracleやApple、Googleは5日以上の日数を要している。
関連記事
- Microsoft、マルウェア対策エンジンの重大な脆弱性を修正
MicrosoftがGoogleの研究者が「最悪」と評していたWindowsの脆弱(ぜいじゃく)性を修正した。同社が月例セキュリティ更新プログラム公開の前日にこうした対応を取るのは極めて異例。 - WikiLeaksで発覚したCisco IOSの重大な脆弱性を修正
3月に発覚した「Cisco IOS」「Cisco IOS XE Software」の脆弱(ぜいじゃく)性を修正するソフトウェアアップデートが公開された。 - Wi-Fiルーターに10件の脆弱性報告、Linksysが対策を勧告
Linksysは攻撃を防ぐための当面の対策として、WiFi Guest Networkの無効化や、デフォルトのパスワード変更を呼び掛けた。 - MicrosoftのIIS 6に未解決の脆弱性、2016年から攻撃横行
発見者によると、2016年8月の時点でこの脆弱性を突く攻撃が横行していた。しかしWindows Server 2003のサポートは終了しているため、更新プログラムは公開されない見通し。 - Apache Struts 2に深刻な脆弱性、既に攻撃が横行 直ちに更新を
この脆弱性は簡単に悪用でき、既に攻撃が横行しているとの情報もあることから、Apache Struts 2を直ちにバージョン2.3.32または2.5.10.1に更新して、脆弱性に対処するよう呼び掛けている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.