脆弱性管理クラウド「yamory」、2024年の脆弱性セキュリティレポートを公開

　アシュアードは、同社の運営する脆弱性管理クラウド「yamory（ヤモリー）」が、独自の脆弱性情報データベースをもとに作成した、2024年の脆弱性セキュリティレポートを12月13日に公開した。

　同レポートによれば、アメリカの国立標準技術研究所（NIST）が運営する脆弱性データベース（NVD）で公開されている脆弱性数（CVSS v3）は年々増加傾向にあり、2024年は11月末時点で2023年と比較して17％増の33845件が公開されている。また、全体の48％が深刻度の高い「High」「Critical」であり、「High」以上に絞って対応した場合でも16345件の脆弱性に対応する必要があるという。

　「yamory」では、独自で構築した脆弱性のデータベースを使用して危険度のレベルを算出し、対応の優先度を自動で判断するオートトリアージ機能を提供している。オートトリアージ機能によって即日対応が必要とされる「Immediate」に分類された脆弱性は、NVDで公開されている「High」「Critical」の脆弱性16345件から、84.4％減の2554件に絞られた。そのうちCISA KEVカタログに掲載され、すでに悪用が観測されている脆弱性は4.5％（115件）となっている。

　CISA KEVに掲載されている脆弱性への対応は重要ではあるものの、日本で悪用されている脆弱性が掲載されていないなど、すべての悪用されている脆弱性が掲載されているわけではないことから、CISA KEVへの対応のみでは不十分といえる。すべての脆弱性に対応することは不可能であり、CISA KEVやPoCといった脅威情報を組み合わせることで実際にリスクの高い脆弱性に絞り込み、優先順位をつけて脆弱性対応を行う必要がある。

　あるソフトウェアを導入すると、そのソフトウェアが依存する他のソフトウェアも一緒に導入されるため、OSS利用が一般化している昨今はソフトウェアの依存関係が複雑化している。「yamory」で2024年に検知された「Immediate」の脆弱性（2318件）のうち、84％が間接的に導入されたソフトウェアの脆弱性であり、間接依存を含めた正確なソフトウェア管理ができていないと、脆弱性の脅威に晒されることになる。

　さらに、依存関係の中にはこれまでのような脆弱性だけでなくさまざまなリスクが存在し、悪意のあるコード挿入（XZ Utils CVE-2024-3094）、Dependency Confusion（依存関係かく乱）、悪意のあるパッケージ（タイポスクワッティングなど）といった可能性が考えられる。これらのリスクは、CVE IDが採番されている脆弱性だけでなくCVE IDのないものも多く存在しており、CVE IDのない脆弱性・リスクは2023年から約2倍に増加した。

　CVE IDのない脆弱性・リスクのうち約9割は悪意のあるパッケージであり、CVE IDのない脆弱性・リスクの増加といったソフトウェアサプライチェーンのリスクが高まっていることから、ソフトウェアサプライチェーンを含めたセキュリティ対策やSBOM対応が急務となっている。

　2025年1月15日13時〜13時40分には、2024年の脆弱性セキュリティレポートについて解説するウェビナー「2024年セキュリティトレンド総括〜今年の振り返りと来年の脆弱性動向について〜」が開催される。参加費は無料で、事前登録が必要。