BeyondTrustの年次レポート「Microsoft脆弱性2022」によると、2021年にはMicrosoft製品全体の脆弱性が5%減少しました。Internet ExplorerやMicrosoft Edgeなど一部の製品では脆弱性の総数が急増しましたが、重大と判断されたMicrosoftの脆弱性の数は過去最低となりました。
この傾向は、Windows、Windows Server、Microsoft Office、Azure Cloud、Microsoft の ERP ソリューションである Dynamics365 にも当てはまりました。
Microsoft の脆弱性レポートを作成するために、著者は前年のすべての Microsoft セキュリティ情報をレビューし、Microsoft エコシステムの脅威の状況の指標を提供しました。
参照:誰もが知っておくべき Windows、Linux、Mac のコマンド (無料 PDF) (TechRepublic)
メモリ破損、オーバーフロー、クロスサイトスクリプティングなど、他のカテゴリの脆弱性の数も、2020年から2021年にかけてすべてのMicrosoft製品で大幅に減少しました。
2年連続で、権限の昇格はリモート コード実行を上回り、最も多くの脆弱性が記録されたセキュリティ カテゴリとなりました。
「今年のデータを詳しく調査すると、重大な脆弱性が引き続き減少傾向にあることがわかります」と、権限管理およびクラウドセキュリティベンダーであるBeyondTrustの主任サイバーセキュリティ研究者、ジェームズ・モード氏は述べています。「簡単に言えば、この投資により、攻撃者がブラウザの脆弱性から一気にシステムを完全に制御することが著しく困難になりました。」
Microsoft製品全体の脆弱性
Internet Explorer と Edge の脆弱性
2021 年には、Internet Explorer と Edge の脆弱性が過去最高の 349 件発生しました。これは 2020 年のほぼ 4 倍ですが、重大と判断されたのはわずか 6 件でした。
この突然の増加は、ブラウザ市場の統合(EdgeがGoogleのChromeブラウザ技術を採用したこと)、攻撃対象となるAdobe Flashなどのブラウザプラグインの減少、Googleによる脆弱性報告の透明性の向上によるものだと報告書は述べている。
Windowsの脆弱性
2020年には、Windows 7、Windows RT、Windows 8/8.1、Windows 10の各オペレーティングシステムに507件の脆弱性が確認されました。Windows 10オペレーティングシステムの脆弱性のうち60件は「緊急」と評価されました。全体として、Windowsの脆弱性は2020年と比較して40%減少し、過去5年間と比較して50%減少しました。
「マイクロソフトがWindowsのアップデートに対してより積極的な姿勢を示したことで、システムが脆弱性のリスクにさらされる時間も短縮されている」と報告書は述べている。「脆弱性の減少とパッチ適用の迅速化というこの相乗効果は、2020年の容赦ないプレッシャーの後では、歓迎すべき進歩と言えるだろう。」
Microsoft Officeの脆弱性
報告された66件のOfficeの脆弱性のうち、重大と判断されたのは1件のみでした。これは朗報ですが、Officeアプリケーションは、パッチが何年も前から提供されているにもかかわらず、数式エディターのバグなど、古い脆弱性に対して依然として脆弱です。
「多くのマルウェアツールキットには、過去10年間に蓄積された多数のOfficeエクスプロイトが含まれており、パッチ未適用のシステムを見つけることが目的です」と報告書は述べている。「これらのツールキットと戦略は、多くの脅威アクターにとって非常に効果的であることが証明されています。」
Windows Server の脆弱性
報告書によると、Windows Serverの脆弱性は2018年以来最低レベルにまで減少しました。前年比で、Windows Serverの脆弱性の数は41%減少し、重大な脆弱性は2020年と比較して50%減少しました。
「マイクロソフトは、Windows Serverを本質的により安全なバージョンにするために、複数世代の開発を要した」と報告書は述べている。「Windows Serverの最新リリースは、あらゆるオペレーティングシステムの中でも最大級のコードベースであるにもかかわらず、これまで以上に脆弱性が少なくなっている。」
AzureとDynamics 365の脆弱性
Azure の 30 件の脆弱性のうち、重大と判断されたのは 5 件のみでした。Dynamics 365 には 2020 年に 6 件の重大な脆弱性がありました。
報告書では、特に問題となる脆弱性として次の 3 つが指摘されています。
- Microsoft Exchange Server のリモートコード実行の脆弱性 (CVE-2021-28480 および CVE-2021-28481)
- Windows DNS サーバーのリモートコード実行の脆弱性 (CVE-2021-34473、CVE-2021-26894、CVE-2021-26895、CVE-2021-26897)
- Microsoft Defender for IoT のリモートコード実行の脆弱性 (CVE-2021-42311 および CVE-2021-4231)
