The Hacker Newsは1月22日(現地時間)、「52% of Serious Vulnerabilities We Find are Related to Windows 10」において、セキュリティサービスプロバイダーの「Orange Cyberdefense」が発表したセキュリティレポート「Security Navigator 2024: Latest Cybersecurity Threats and Trends」の概要を伝えた。Orange Cyberdefenseは脆弱性スキャンサービスに登録しているクライアントサブセットの資産内から、250万件の脆弱性を発見したとしている。

脆弱性調査の結果

Orange Cyberdefenseの脆弱性調査によると、発見された脆弱性のうち約50.4%が緊急(Critical)または重要(Important)に分類されていたという。これら脆弱性の総数は昨年と比較して、緊急(Critical)は52.17%減少し、重要(Important)は43.83%減少したとしている。これは、顧客が脆弱性にパッチを当てて対策したことを示しており、全体的に改善傾向にあるとしている。

  • 発見された脆弱性の割合 - 提供:Orange Cyberdefense

    発見された脆弱性の割合 引用:Orange Cyberdefense

緊急(Critical)および重要(Important)の検出数が約半数を占めて高いのは、主にWindowsまたはWindows Serverの影響を受けているためで、Linuxなど他のオペレーティングシステムの影響は大幅に少ないとされる。緊急(Critical)に分類される脆弱性の検出数最多のオペレーティングシステムはWindows10(52.1%)で、これにWindows Server 2008 R2(24.1%)、Windows Server 2012 R2(8.9%)が続く。なお、この脆弱性統計にはオペレーティングシステムの脆弱性だけではなく、アプリケーションの脆弱性も含んでいる点に注意。

  • オペレーティングシステム別の脆弱性の検出割合 - 提供:Orange Cyberdefense

    オペレーティングシステム別の脆弱性の検出割合 引用:Orange Cyberdefense

業界別の調査においては、建設業界が優秀な結果となっており、1資産あたり平均12.12件の検出となっている。対して鉱業、採石、石油・ガスは検出数が多く、1資産あたり平均76.25件を検出している。

Orange Cyberdefenseが発見し、顧客に報告した脆弱性の多くは90日以内に対策されるが、35%は対策に120日以上を必要とする。そして、一部は対策が実施されずに残留している。

Orange Cyberdefenseは顧客のシステムに対してペネトレーションテストを実施するサービスを提供している。ペネトレーションテストにより発見された問題点のうち17.67%が深刻と評価されているが、脅威アクタがこの問題点を実際に悪用するには相当な努力が必要としている。

結論

Orange Cyberdefenseはこのレポートには、129,395件のインシデントと25,076件の侵害に関する情報が文書化されており、最新のデジタル脅威に対する洞察が閲覧できるとしている。また、安全なデジタル環境を案内するガイドとして機能するとしており、企業や組織のセキュリティ担当者には有効に活用することが期待されている。