betanewsによると、macOSとiOSの脆弱性が以前にも増して悪用されやすくなっています。このレポートは、Action1 Corporationが発表した「Software Vulnerability Ratings Report」に基づいており、macOSやiOSの脆弱性の増減や、悪用率についての分析が紹介されています。(betanews)
macOSの脆弱性は減っているものの、悪用される数は増加
2022年から2023年にかけて、macOSの脆弱性の総数は29%減少しましたが、実際に悪用された脆弱性の数は30%以上も増加しました。これは、数が減っても依然として存在する脆弱性が攻撃者によって狙われやすくなっていることを意味します。
macOSユーザーは「安全なはず」と思いがちですが、今こそセキュリティ対策を見直す時期かもしれません。
関連> Apple、macOS Sonoma 14.5を正式リリース – 脆弱性の修正にはOCLPで知られるミコラ氏の名前も
iOSも例外ではない
iOSでも同様に、脆弱性の悪用率が8%上昇しました。iPhoneやiPadを使っている人々も注意が必要です。最新のソフトウェアアップデートを適用するなど、基本的なセキュリティ対策を徹底することが大切です。
原因はNVD(National Vulnerability Database)の遅延?
今回のレポートは、特にエンタープライズソフトウェアにおける脆弱性の悪用率とリモートコード実行(RCE)脆弱性に焦点を当てています。最近、NVD(National Vulnerability Database)がCVE(Common Vulnerabilities and Exposures)識別子とCPE(Common Platform Enumeration)データの関連付けに遅れが生じているため、代替のアプローチが求められています。
Action1のプレジデントであるMike Walters氏は、「NVDの遅延により、従来の方法に頼るのではなく、新たな方法で脆弱性を監視する必要があります。サイバーセキュリティコミュニティ全体で情報を共有し、民間企業や学術機関、他の脅威インテリジェンスプラットフォームと協力することが重要です」と述べています。
他のソフトウェアも要注意
NGINXとCitrix
NGINXの脆弱性の悪用率は驚きの100%、Citrixは57%です。これらのロードバランサの脆弱性が悪用されると、広範囲に影響を及ぼす可能性があります。
Microsoft Officeの脆弱性
MS Officeの脆弱性も非常に高い悪用率を示しています。特に人為的なエラーを悪用する攻撃が増加しており、重大な脆弱性の80%近くがRCEです。2023年にはMicrosoftの悪用率は7%に上昇し、2022年の2%から大幅に増加しました。
脆弱性管理のための提言
前出のMike Walters氏は、NVDの遅延により、サイバーセキュリティコミュニティが一層の情報共有と協力を行うことが重要であると強調しています。これには、民間のサイバーセキュリティ企業、学術機関、その他の脅威インテリジェンスプラットフォームとの協力が含まれます。
これにより、組織全体のセキュリティ姿勢を強化し、脆弱性の監視と対策を迅速かつ包括的に行うことが可能になります。
まとめ
macOSは「安全」というイメージが強いですが、Macのシェア拡大とともに、この神話も揺らいでいます。現在はニコニコ動画への大規模なサイバー攻撃もあり、セキュリティ関連の脅威は他人ごとではありません。
ぜひmacOSやiOSのセキュリティ対策も万全に、引き続き常に注意をしつつ、安心して利用できる環境を整えて頂ければと思います。
関連> Apple、macOS Sonoma 14.5を正式リリース – 脆弱性の修正にはOCLPで知られるミコラ氏の名前も
関連> ニコニコを襲った大規模なサイバー攻撃「時間をかけて計画的に攻撃」はどのようなものだったのか
