Linux、ゼロデイ脆弱性の修正に要した期間はWindowsの2倍超--2012年対応分

UPDATE　セキュリティ企業のTrustwaveによると、2012年に修正された「Linux」カーネルの脆弱性が未対応のままになっていた期間は平均2年以上だという。これは、現行の「Windows」OS各種で未対応脆弱性の修正にかかった期間の2倍以上にのぼる。

　2012年に修正されたLinuxカーネルのゼロデイ脆弱性（パッチが未公開のソフトウェア脆弱性）は、修正されるまでに平均857日かかったことが、Trustwaveの調査で明らかになった。これに対し、2012年に修正された現行のWindows OS各種におけるゼロデイ脆弱性は375日で修正された。

　TrustwaveのSpiderLabsチームでヨーロッパ、中東、アフリカ担当ディレクターを務めるJohn Yeo氏によると、パッチ公開までにかかる時間の差は、オープンソースプロジェクトのコミュニティーとプロプライエタリソフトウェアのベンダーという構造の違いによって説明できる部分があるという。

　「一部には、Linux開発の分散性が関連している」とYeo氏は述べている。

　「特定製品に完全かつ単独の責任を負うベンダーの場合、製品は高度に標準化されているため、パッチを公開するのはいくらか簡単だ」

　「一方、Linuxカーネルの場合は多様なコンポーネントやモジュールを含んでいたり、パッチの作成にもオープンソースの観点から多くの人が関与したりする場合がある」（Yeo氏）

　ただし、このデータを根拠として、Linuxカーネルを採用したOSが必ずしもWindows OSより脆弱だと解釈すべきではないとYeo氏は述べる。すべてのLinuxディストリビューションがすべてのエクスプロイトの影響を受けるとは限らないからだ。

　「Linuxカーネルの場合、これら共通脆弱性識別子（CVE）の中には、特定のディストリビューションに必ずしも当てはまらないものもある」（Yeo氏）

　フリーソフトウェア運動の非営利団体Free Software Foundation Europe（FSFE）でフェローシップコーディネーターを務めるMatthias Kirschner氏は、ゼロデイ脆弱性の修正にかかる時間には多くの因子が影響を及ぼしうるとして、次のように述べている。

　「ゼロデイエクスプロイトを評価するのは少々困難だ。エクスプロイトが公になる前に開発者が把握していた期間はどれくらいかといったことも、修正にかかる時間に影響を及ぼす。例えば、エクスプロイトを故意に実行するなどして事前に把握していた場合、これを修正するのは比較的簡単だ。あとは解決策を適用すればいいだけの状態になっている可能性もある」

　「フリーソフトウェアは非常にオープンな共同開発モデルの下で構築することもできるし、他人から一切パッチの提供を受けずに1人で非公開で開発することもできる。そのためわれわれは、ソフトウェアモデル、開発モデル、ビジネスモデルを区別して考えることを推奨している」（Kirschner氏）

　Trustwaveの報告によると、共通脆弱性評価システム（CVSS）において潜在的影響や攻撃可能性などの基準から深刻度が高いと評価された脆弱性の発見件数は、2012年にはLinuxカーネルが9件で、Windowsの34件より少なかったという。脆弱性の全般的な深刻度も、LinuxはCVSSの平均スコアが7.68だったのに対しWindowsは8.41と、LinuxのほうがWindowsより低かった。

提供：Trustwave