2022年9月26日

トレンドマイクロ株式会社（本社：東京都渋谷区、代表取締役社長 兼 CEO：エバ・チェン　東証プライム：4704、以下、トレンドマイクロ）は、トレンドマイクロが運営する脆弱性発見コミュニティ「Zero Day Initiative：ゼロデイイニシアティブ（以下、ZDI）」が、2021年に新たに発見された脆弱性のうち約64%を報告^※1したことを発表いたします^※2。
※1　Omdia「Quantifying the Public Vulnerability Market: 2022 Edition」（以下、本調査）
本調査は、脆弱性の調査/報告をしている世界的な組織が2021年に報告した脆弱性をOmdiaが纏めたものです。また、脆弱性識別番号（CVE）が付与されている脆弱性のみを集計対象にしています。
※2  本リリースで掲載しているパーセンテージは、小数点第一位を四捨五入した数値です。

レポート「Quantifying the Public Vulnerability Market: 2022 Edition」の詳細はこちら

ZDIのシニアディレクターBrian Gorencは以下のように述べています。
「ZDIは2007年以来、脆弱性の調査と報告を主導し、リーダーポジションを確立してきました。私たちは、悪意あるサイバー犯罪者との継続的な戦いにおいて、デジタル世界をより安全な場所にするために業界をリードできることを誇りに思います」。

Omdiaが公開した本調査は、脆弱性の調査/報告を公表している世界的な組織が2021年に報告し、CVEが付与された1,543件の脆弱性を対象に、Omdiaが分析したものです。ZDIが報告した984件の脆弱性は、深刻度別に48件が緊急（Critical）、723件が重要（High）、129件が警告（Medium）に分類されています。結果として、調査対象となった脆弱性1543件のうち約64％の脆弱性を、ZDIが報告したことが明らかになりました。発見され、報告されたすべての脆弱性は、悪意あるサイバー犯罪者によるゼロデイ攻撃を仕掛ける機会を減らすことに繋がります。

Omdiaの主席アナリストであるTanner Johnson氏は次のように述べています。「今年の調査で、提出された脆弱性の数が最も多かったのは監視ソフトウェアでした。これは、多くの組織が脅威をより早く特定するために、監視ソフトウェアを活用するようになったということでもあり、悪意あるサイバー犯罪者に対抗するためのポジティブな兆候とも言えます」。

また、脆弱性の平均影響スコア（Average of Impact Score）は、過去3年連続、前年比で上昇しています。これは、公開された脆弱性が悪用された場合、より大きな影響を与える可能性があることを意味しています。米国の脆弱性情報データベース（NVD：National Vulnerability Database）に追加されたCVE数は、2021年に5年連続で過去最高を更新しました。

ZDIが2021年に公表した脆弱性のアドバイザリ^※3の概要は以下のとおりです^※4。

・アドバイザリの総公表数：1,604件、
・ZDIが公表したアドバイザリ上位3ベンダー：Microsoft：174件、Siemens：153件、Adobe：145件
・ICS関連のアドバイザリ：586件（2021年に公開したアドバイザリの約37%）
※3　ZDIが2021年に公表した脆弱性は識別子CVEが採番されていない脆弱性も含みます。
※4　ZDIが公表しているアドバイザリ数とOmdiaが本調査で集計している脆弱性数は同数にはなりません。（複数のアドバイザリが１つのCVEとして纏められることなどがあるため）。

図1: 2021年のベンダー別アドバイザリ

ZDIが新たに発見した脆弱性は、原則ZDIの開示方針に基づき、各ベンダーに報告後、修正プログラムの公開など適切な対応を確認した後に公開します。ZDIの開示方針の詳細はこちらをご覧下さい。

今後も、トレンドマイクロおよびZDIは、サイバー空間に存在する悪意あるサイバー犯罪者から社会を守るために、脆弱性の調査に積極的に取り組んでいきます。

• 本リリースに記載された内容は2022年9月26日現在の情報をもとに作成されたものです。
  
• TREND MICRO、ZERO DAY INITIATIVE、およびSecuring Your Connected Worldは、トレンドマイクロ株式会社の登録商標です。各社の社名、製品名およびサービス名は、各社の商標または登録商標です。