ここから本文です

脆弱性の大多数、正式公表前に情報露呈 闇サイトや中国サイトで先に公開されるケースも

6/9(金) 7:10配信

ITmedia エンタープライズ

 MicrosoftやGoogleといった大手の製品に存在する脆弱(ぜいじゃく)性の大多数は、正式に公表される前からインターネットへの投稿や闇サイトを通じて情報が露呈している――。セキュリティ企業のRecorded Futureが6月7日、そんな調査結果を発表した。

【Recorded Futureが詳細を調査】

 Recorded Futureでは米国立標準技術研究所(NIST)の脆弱性情報データベース(NVD)で2016年から2017年にかけて公表された、1万2517件の脆弱性について、発覚してからNVDを通じて情報が正式に公表されるまでの日数などを調べた。

 その結果、脆弱性の75%は、NVDで公表される以前から情報が出回っていたことが判明した。NVDを通じて公表されるまでの日数は、平均で7日前後だったが、50日以上かかった脆弱性は25%、170日以上かかった脆弱性も10%を占めていた。

 全体の5%に当たる659件の脆弱性については、NVDの公表前に、ディープWebやダークWebなどの闇サイトに詳しい情報が掲載されていた。この中にはGoogle、Apple、Microsoft、Oracleといった大手の製品の脆弱性情報が含まれていて、深刻度も予想以上に高かった。

 また、英語の情報だけに頼っていては、最新情報を追い切れない実態も判明した。約200件の脆弱性に関する情報は、中国の国家機関が運営する脆弱性情報データベースに最初に登録されていたという。

 脆弱性が発覚してからNVDで公表されるまでの日数は、メーカーによって差があることも分かった。Adobeは平均で1日、Microsoftは2日だったのに対し、OracleやApple、Googleは5日以上の日数を要している。