2014年に脆弱性情報データベースNVDに報告された脆弱性の数が最も多いOSはOS X、2位がiOSとなったもよう。

スポンサーリンク

 2014年に報告された脆弱性の数が最も多いOSは1位がOS X、2位がiOS、次にLinux Kernelとなったようです。詳細は以下から。


Most-vulnerable-operating-systems-and-applications-in-2014-Hero


 アメリカのネットワークセキュリティなどを手がけるGFI softwareのプロダクトマネージャーCristian Florian氏が公開したレポートによると「2014年は平均して1日に19の脆弱性がNational Vulnerability Database (NVD)b.hatenaに報告されてきましたが、この記事ではそのNVDに報告された脆弱性のデータベースを元に脆弱性の流行や主要項目を見て行きたいと思います」としてNVDに報告されたCVEの数から以下の様なデータを導き出しています。

(Kaspersky氏のツイートには「ウィルス数も入れないと安全なOSは分からない」などのコメントが寄せられています)

An average of 19 vulnerabilities per day were reported in 2014, according to the data from the National Vulnerability Database (NVD). The NVD provides a comprehensive list of software security vulnerabilities. In this article, I look at some of the trends and key findings for 2014 based on the NVD’s database.

 まず初めに、GFIのレポートでは年間に報告された脆弱性の数を比較しており、NVDに報告された脆弱性の数は2014年が7038件で、2013年の4794件、2012年の4347件と比較しかなり多く(約1.5倍)、報告数は2011年から上昇傾向にあり、


number-of-vulnerabilities-09-14

7,038 new security vulnerabilities were added to the NVD database in 2014. This means an average of 19 new vulnerabilities per day. The number is significantly higher than in 2013 and continues the ascending trend over the past few years.

 その内、重大な脆弱性に関しては約24%の1705件で、この数は2013年のパーセンテージより少ないものの、重大な脆弱性の数は去年より増加しているとしています。


high-severity-vulnerabilities

24% of these vulnerabilities are rated as high severity. The percentage is lower than in 2013, but the actual number of high security vulnerabilities has increased compared to last year.

最も脆弱性の報告が多かったOSは?

 2014年に報告された脆弱性が最も多かったOSは1位がOS Xの147件、2位がiOSの127件、3位がLinuxの119件でCristian氏は「MicrosoftのOSは今だに数多くの脆弱性を有しているが、もやは脆弱性報告数のTop3にはいない」としています(前年のレポートにはこの統計がないので曖昧ですが)。


Most-Vuluerable-OS-table

It is interesting that although Microsoft operating systems still have a considerable number of vulnerabilities, they are no longer in the top 3. Apple with OS X and iOS is at the top, followed by Linux kernel.

2014 was a tough year for Linux users from a security point of view, coupled with the fact that some of the most important security issues of the year were reported for applications that usually run on Linux systems. Heartbleed, for example, is a critical security vulnerability detected in OpenSSL while Shellshock is a vulnerability that affects GNU Bash.

 この記事はあくまで「報告された脆弱性の数」でのデータですが、Cristian氏は「2014年はOpenSSLのHeartbleedやBashのShellShockなどLinuxユーザーにとって大変な1年でした」とコメントしており、その影響(以下)もありBSD系のOS XやiOSが上位に来ている様です。

ShellShock脆弱性OS X bash Update 1.0 で修正

・NTPD脆弱性 → OS X NTP Security Updateで修正

rootpipe脆弱性OS X 10.10.2では修正されず

・Google Project Zeroが発見したゼロデイ攻撃OS X 10.10.2で修正

 また、同レポートには「最も脆弱性の報告が多かったアプリケーションは?」という統計も掲載され、Internet ExplorerやFirefox, Google Chromeなどが上位に来ている状況も伺えるので興味のある方は関連リンクからどうぞ。

追記

 「2013年度の報告にも同じ表がある」とコメントを頂き確認したところ、確かに同様のNVDに報告された脆弱性の数のレポートが掲載されており、この表ではOS Xは16位、iOSは10位となっているようです。


OS-table

There has been an overall increase in number of vulnerabilities for all operating systems, irrespective of brand – Microsoft or Linux..Microsoft’s operating systems once again took top spot, overtaking Apple iOS, which had the highest number of vulnerabilities last year. The number of vulnerabilities in Apple iOS increased in 2013, but went down to 10th because Windows operating systems and Linux kernel vulnerabilities increased considerably more.

[Report: Most vulnerable operating systems and applications in 2013 – GFI Blog]

関連リンク:
Most vulnerable operating systems and applications in 2014 – GFI Blog

Report: Most vulnerable operating systems and applications in 2013 – GFI Blog

Report: The Most Vulnerable Operating Systems and Applications in 2012 – GFI Blog

コメント

  1. Apple7743 より:

    2014は脆弱性の当たり年だったからね〜
    Shelshockだけで5件ぐらいのクリティカルCVSが登録されてたし、本当に脆弱性の発見が集中したのは何だったろうね?

  2. Apple7743 より:

    他所でも指摘されてたけどWindowsはバージョン別なのにOS Xは一つにまとめられてる
    そしたら脆弱性の数も当然増えるわな

  3. Apple7743 より:

    それでもWin7〜8.1を足したのよりは多いからなあ
    まあ昔ほどには安全でもない程度の認識でいいんじゃないの

  4. Apple7743 より:

    でもさ、Windowsを合わせると
    Microsoft Windowsが142件、Microsoft Serverが76件、合計すると…… 多いなぁ。

  5. Apple7743 より:

    Win7〜8.1のバグは被ってる内容のものもいくつかあるはずだから、appleの2つのOSはかなり多いって事になるよね…

  6. Apple7743 より:

    そもそも昔からAppleはソフトウェア品質は高くないし。
    場当たり的な対応のせいで検証が甘くて関連バグが取り切れてなかったり、急いでたのか以前のソースコードをコメントアウトして残してたりと割とメチャクチャ。
    幾つかの転機はあったけど、購買意欲と所有欲を刺激する巧妙な宣伝方法で、何も知らない上層のユーザの無条件な支え(信者が支えるブランド力)を得ながら品質の低さをどうにか誤魔化してきたって感じ。
    それが最近の割と性急な対応を求められるネット関連のセキュリティ問題に対応しきれなくなってバレ始めたって印象だわ。
    UNIXクローンの杜撰な管理が原因って部分もあるだろうけど、ライセンスの緩いの他人様のカーネルを採用した時点でAppleが自社で負うべき責任であるともいえるので同情の余地はない。

  7. Apple7743 より:

    基本的に Apple は最新バージョン以外サポートしてないんで、
    サポート中というところではこれでいいのでは。

  8. Apple7743 より:

    確かにOS Xはバージョン別になってないけど
    2013年の報告にも同じ表あるじゃん?
    ttp://www.gfi.com/blog/wp-content/uploads/2014/02/OS-table.jpg
    これと比較すると2倍以上になってるね。

  9. Apple7743 より:

    ワロタ
    まあ実際去年は酷かったな
    正直新リリースはもうしばらく無くていいから、今年は安定化に向けて頑張ってくれよApple