ソフトウェア脆弱性は2019年にどう変わったのか？　TheBestVPN.comが報告：コード実行の脆弱性が多い

TheBestVPN.comは主要なOSやWebブラウザなどで2019年に見つかった脆弱性を調査した結果を発表した。NIST（米国国立標準技術研究所）の「National Vulnerability Database」を基に分析した。OSでは「Android」、アプリケーションソフトウェアでは「Adobe Flash Player」の脆弱性が最も多かった。

　TheBestVPN.comは2020年3月6日（米国時間）、主要なOSやWebブラウザなどで見つかった脆弱（ぜいじゃく）性を調査した結果を発表した。NIST（米国国立標準技術研究所）の「National Vulnerability Database」を基にして、2019年に見つかった脆弱性を対象とした。

　2019年に脆弱性が最も多く報告されたソフトウェアの他、脆弱性の種類ごとの比率、脆弱性が多数報告されたベンダーやOS、脆弱性のリスクが高かったソフトウェアなどを報告している。1999〜2019年の20年間にわたる状況にも触れている。

脆弱性が最も多く報告されたソフトウェアは「Android」

　2019年に報告された脆弱性の総数は1万2174件。そのうち報告件数が最も多かったソフトウェアは「Android」（414件）だった。Androidは2016年と2017年にも報告件数が最も多かった。

　なお、2018年は1万6556件の脆弱性が報告されており、件数が最も多かったのは「Debian GNU/Linux」（1197件）だった。

　TheBestVPN.comはiOSがリストに含まれていないことに注目している。

各年に最も脆弱性の報告が多かったソフトウェア（出典：TheBestVPN）　The Best VPNによれば、一部のソフトウェアについては報告が重複している

脆弱性の種類では「コード実行」が首位に

　2019年に報告された脆弱性を種類別に見ると、コード実行の脆弱性（25.3％）、クロスサイトスクリプティング（XSS）の脆弱性（17.7％）、オーバーフローの脆弱性（13.9％）、サービス妨害（DoS）の脆弱性（10.2％）、情報入手の脆弱性（10.0％）が上位を占めた。

　攻撃者に任意のコマンド実行を許してしまうコード実行の脆弱性は、2018年に続いて2年連続で最も比率が高かった。

　コード実行の脆弱性が首位に躍り出たことには理由がある。2017年はDoSの脆弱性の比率が最も高かったものの、2018年にGitHubのWebサイトがDoS攻撃で5分間程度オフラインとなったことなどを受け、企業のDoS対策が進んだ。2019年にDoSの脆弱性の比率がさほど高くなかったのはこのためだ。

発見された数が多い脆弱性の種類（出典：TheBestVPN）

脆弱性が多数報告されたベンダーはMicrosoft

　1999〜2019年に脆弱性の報告件数が最も多かったベンダーの5社は、Microsoft（6814件）、Oracle（6115件）、IBM（4679件）、Google（4572件）、Apple（4512件）だった。

　これに対し、2019年単年で脆弱性の報告件数が最も多かったベンダーは、Microsoft（668件）、Google（609件）Oracle（489件）、Adobe Systems（441件）、Cisco Systems（440件）となっている。

ベンダーごとの脆弱性の数（出典：TheBestVPN）

20年間の累積で最も脆弱性が多いOSは？