Friday, August 06, 2021 11:16 AM

業務用ソフトウェアの85%に「非常に深刻」な脆弱性

 オスターマン・リサーチ(Osterman Research)による最新の調査によると、業務用(商用)ソフトウェアの脆弱性に関する問題は、見過ごされたり非公表にされたりすることが多いオープン・ソースの構成部分が多く含まれることによって、ソフトウェア製品全体に蔓延していることがわかった。

 ベンチャービート誌によると、同社は、オープン・ソース構成部分を含むすべての法人向け既製品アプリケーション群のセキュリティー脆弱性を試験した結果、少なくとも85%は、「非常に深刻」とみなされる脆弱性が少なくとも一つ見つかった。

 オスターマン・リサーチのマイケル・サンプソン上席分析家は、既製品の業務用ソフトウェアに深刻なセキュリティー脆弱性が潜んでいることがあまりにも一般的だったことに驚いた、と話している。「ソフトウェア・ベンダーらがコードを公開することで、彼らの顧客会社らがサイバー脅威にさらされやすくなることは憂慮すべき問題だ」。

 同社の調査では、ウェブ・ブラウザーと電子メール、メッセージング、ファイル共有、そしてオンライン会議クライアントという5つのソフトウェア分野に重点が置かれた。それらが法人向け既製品アプリケーションのなかでもっとも利用されているためだ。

 同社によると、それらのうちオンライン会議と電子メールのソフトウェアの脆弱性がもっとも深刻だった。特にオンライン会議ソフトウェアの脆弱性が最大だった。新型コロナウイルス・パンデミックによって動画会議が激増したため、オンライン会議ソフトウェアのセキュリティーがもっとも弱いという事実は深刻だ。

 たとえば、パンデミック効果で躍進したズーム(Zoom)のプラットフォームは、60近いオープン・ソース構成部分を含んでおり、これまでに、「ズームボーミング(Zoombombing)」と呼ばれるサイバー攻撃を世界中で無数に受けた。ズームは、安全性やそのほか各種の運用環境について複数の虚偽報告や虚偽説明が発覚したことで集団訴訟に直面し、先日、8500万ドルの和解金を払うことに合意したばかり。一例としては、会議内容が暗号化されている、と同社は説明していたが、完全には暗号化されおらず、また、中国に設置されたサーバー群を経由させ、動画内容が中国共産党に筒抜けになる環境だったことを隠蔽した。

 ウェブ・ブラウザー部門では、ファイヤーフォックス(Firefox)の脆弱性がもっとも深刻だった。ブラウザー自体にはオープン・ソース構成部分はほとんどないが、それ以外のコードにたくさん含まれており、発見された脆弱性のうち75.8%がそれらに起因することがわかった。

 ただ、ファイヤーフォックスの最新版では、セキュリティー脆弱性がかなり解消されている。

https://venturebeat.com/2021/08/04/85-of-commercial-software-apps-have-critical-vulnerabilities-study-finds/