ソフトウェアの脆弱性を修正するプログラムが公開されても適用しないユーザー、サポートが終了したソフトウェアをアップグレードしないで使い続けるユーザーが多数存在することが明らかになった。調査を行ったセキュリティ企業のカスペルスキーは、脆弱性の放置は、ユーザーの個人情報漏えい、企業や政府機関への標的型攻撃につながるとして、注意を呼び掛けている。
同社によると、とくに危険なバージョンの Oracle Java、Adobe Flash Player、Adobe Reader のユーザーは、より安全な新バージョンへの切り替えに極めて消極的であることが明らかになったという。
調査は2012年、クラウドベースのKaspersky Security Network(KSN)の1100万を超えるユーザーのデータを使い、「ソフトウェアの脆弱性の確認」と、「より安全な新バージョンへ切り替えるためのユーザーの意欲の評価」が行われた。
■サイバー犯罪者が多用する8種の脆弱性
データ分析の結果、1億3200万件以上の脆弱性が各種プログラムから発見され、800種類以上の脆弱性が確認された。そのうちわずか37種類の脆弱性が、検知されたソフトウェアの不具合の70%を占めていた。37種類の脆弱性のうち、サイバー犯罪者によって広く使用されている攻撃コードは、「Oracle Java」内の5種類、「Adobe Flash Player」内の2種類、「Adobe Reader」内の1種類の、計8種類のみだった。
■70%以上がJavaの脆弱性を放置
ソフトウェアの更新が提供された時点で、ユーザーが新バージョンへアップグレードする意欲に関する調査では、次のことが明らかになった。
・最新バージョンの Javaが公開された後の6週間(2012年9~10月)で、安全性の高いバージョンに切り替えたユーザーはわずか28.2%で、70%以上が Javaの脆弱性をシステムに残したままにしていた。
・サポートが終了した 2010バージョンの Adobe Flash Player が平均で10.2% のコンピューター上で確認され、2012年全体を通じてほとんど減少しなかった。
・2011年12月に発見された Adobe Readerの脆弱性が13.5% のコンピューター上で確認され、この数字も減少する気配はなかった。
同社の脆弱性リサーチエキスパートであるヴャチェスラフ・ザコルザフスキー氏は、「修正プログラムを公開するだけでは、個人や企業のセキュリティを十分に確保できない」ことがこの調査結果により明らかになったとし、「Java、Adobe Flash/Reader を使う何百万人ものユーザーがリスクにさらされたままになっている」ことに、警鐘を鳴らしている。
(2013/02/20 ネットセキュリティニュース)
【関連URL:カスペルスキー】
・サポートが終了したソフトウェアやぜい弱なソフトウェアをアップグレードしようとしない多数のユーザー
http://www.kaspersky.co.jp/news?id=207585725