ニュースリリース - 2017年6月9日

シノプシスによる調査の結果、旧バージョンでセキュリティ上問題のあるサードパーティー・ソフトウェア・コンポーネントが多用されている実態が明らかに

12万超のアプリケーション・ソフトウェアを対象にした調査で使用されているサードパーティー・ソフトウェア・コンポーネントの半分以上が旧バージョンであることが判明

 

2017年6月6日 カリフォルニア州マウンテンビュー発 - シノプシス(Synopsys, Inc.、Nasdaq上場コード:SNPS)は本日、“The State of Software Composition 2017” と題する調査レポートを公表した。この調査は、ソフトウェア開発業界が直面している最もクリティカルな課題のひとつであるソフトウェア・サプライチェーンに潜むセキュリティの実態を明らかにする目的で実施したもので、調査レポートは現在用いられているソフトウェアの解析結果をまとめたものである。128,782のソフトウェア・アプリケーションを解析した結果、それらに含まれているオープンソースもしくは有料のソフトウェア・コンポーネントのうち16,868個から、約10,000種に及ぶセキュリティ脆弱性が検出された。

シノプシスでは、自社のソフトウェア・コンポジション解析ツールProtecode SCを用いて、2016年1月1日から同年12月31日にかけて抽出したアプリケーション・ソフトウェアを解析した。その結果、これらのアプリケーションの中に含まれていたサードパーティー・ソフトウェア・コンポーネントの約50%は、開発されてから4年以上が経過していることが判明し、その内ほとんどのコンポーネントは既にセキュリティが改善されたバージョンがリリースされていることも明らかとなった。

シノプシス ソフトウェア・インテグリティ・グループ 上級副社長兼ジェネラルマネージャー Andreas Kuehlmannは、次のように語っている。「当社では、膨大なデータを解析して傾向と問題点の洗い出しを進めた結果を受けて、ソフトウェア開発業界に従事する皆様が今後そのソフトウェアをセキュリティを強化したものにアップデートしていくにあたって非常に有益な情報をご提供しています。サードパーティー・ソフトウェア・コンポーネントに潜んでいる脆弱性は、ある程度の期間が経過しなければ特定/報告されないため、その間セキュアと思われていたソフトウェア・パッケージがセキュリティ上の危険にさらされることとなります。我々は、オープンソース・ソフトウェアを使うのが良くないと申し上げているのは無く、緊張感を持ってソフトウェアのアップデートを続け、外部からの攻撃に対処することが大事だということです」

今回の調査は、モバイル、デスクトップならびにWebアプリケーション、多業界で使用されているファームウェアや組込みソフトウェアなど、さまざまなジャンルのソフトウェアを対象に実施されている。調査報告に含まれている情報は、最も一般的に用いられているサードパーティー・ソフトウェア・コンポーネント、それらのコンポーネントに関連する共通脆弱性識別子(CVE:Common Vulnerabilities and Exposures)、CVEを0.0~10.0の値で評価する共通脆弱性評価システム(CVSS:Common Vulnerability Scoring System)、脆弱性の種類を分類した共通脆弱性タイプ一覧(CWE:Common Weakness Enumeration)である。

その他の主要結果

  • CVE登録リストから抽出した9,553の脆弱性の45%は、2013以前から指摘されているものである
  • CVE登録された脆弱性の上位50%には、2014年からパッチが提供されているにもかかわらず未だにHeartbleedバグが含まれている。
  • CVE登録されたものの中で最も古いものは1999年にさかのぼる。
  • 旧バージョンの状態で非常に一般的に使われているソフトウェア・コンポーネントのトップ10には、Curl、Dropbear、Expat、libjpeg-turbo、libjpeg、libpng Linux Kernel、Lua、OpenSSL、Pcreなどがある。アップデートされないまま使用されれば、これらのコンポーネントを使用したプログラムは脆弱性を抱えることになる。

シノプシス セキュリティ・ストラテジスト Robert Vamosiは、次のように語っている。「つい先月ランサムウェア WannaCryが世界中で猛威を振るったばかりですが、今回の調査結果は全ての人がソフトウェアの最もセキュアなバージョンを使っているわけではないという実態に対して警鐘を鳴らすものとなりました。アップデート・プロセスはソフトウェアのリリース時に終了しているわけではなく、その製品が使われ続ける限り継続して実行されなければなりません。CVEはオープンソース・ソフトウェア・コンポーネントに対しても公開されているのですから、開発者は自身のソフトウェアにそうしたものが含まれていないかどうかチェックする必要がありますし、組織には最新バージョンが公開された時点で適用し、脆弱性を抱え込んだままにしないようにする必要があります」

調査報告の全容は下記サイトよりダウンロード可能。

https://www.synopsys.com/software-integrity/resources/analyst-reports/state-of-software-composition-2017.html 

シノプシス・ソフトウェア・インテグリティ・プラットフォームについて

シノプシスは、ソフトウェア・インテグリティ・プラットフォームを通じて、ソフトウェアのクオリティとセキュリティを向上させるための最先端ソリューションとサービスを提供している。この各種の解析/テスト自動化テクノロジを搭載した包括的な開発プラットフォームは、ソフトウェア開発プロセスにシームレスに組み込むことができ、ソフトウェア開発者は、品質に影響を及ぼす欠陥、セキュリティ脆弱性、コンプライアンス上の問題点などをソフトウェア開発ライフサイクルの初期段階で検知/修正し、ソフトウェア・サプライチェーンを通じてセキュリティ問題を可視化し対策を施すことが可能となる。

シノプシスについて

Synopsys, Inc.(Nasdaq上場コード:SNPS)は、我々が日々使用しているエレクトロニクス機器やソフトウェア製品を開発する先進企業のパートナーとして、半導体設計からソフトウェア開発に至る領域(Silicon to Software)をカバーするソリューションを提供している。電子設計自動化(EDA)ソリューションならびに半導体設計資産(IP)のグローバル・リーディング・カンパニーとして長年にわたる実績を持ち、ソフトウェア品質/セキュリティ・ソリューションの分野でも業界をリードしており、世界第15位のソフトウェア・カンパニーとなっている。シノプシスは、最先端の半導体を開発しているSoC(system-on-chip)設計者、最高レベルの品質とセキュリティが要求されるアプリケーション・ソフトウェアの開発者に、高品質で信頼性の高い革新的製品の開発に欠かせないソリューションを提供している。詳細な情報は、https://www.synopsys.com/ja-jpより入手可能。

 

# # #

 

Synopsysは、Synopsys, Inc.の登録商標または商標です。

その他の商標や登録商標は、それぞれの所有者の知的財産です。

 

<お問い合わせ先>

日本シノプシス合同会社 フィールド・マーケティング・グループ 藤井 浩充

TEL: 03-6746-3940                  FAX: 03-6746-3941