トレンドマイクロが運営する脆弱性発見コミュニティ「Zero Day Initiative」 2023年に新たに発見された脆弱性のうち約60%を報告

2024/07/02　トレンドマイクロ　株式会社　

トレンドマイクロが運営する脆弱性発見コミュニティ「Zero Day Initiative」
2023年に新たに発見された脆弱性のうち約60%を報告

2024年7月2日

トレンドマイクロ株式会社（本社：東京都新宿区、代表取締役社長兼 CEO：エバ・チェン東証プライム：4704、以下、トレンドマイクロ）は、トレンドマイクロが運営する脆弱性発見コミュニティ「Zero Day Initiative：ゼロデイイニシアティブ（以下、ZDI）」が、2023年に新たに発見された脆弱性のうち約60%を報告^※1したことを発表いたします^※2。

※1Omdia「Quantifying the Public Vulnerability Market: 2023 Edition」（以下、本調査）
本調査は、脆弱性の調査/報告をしている世界的な組織が2023年に報告した脆弱性をOmdiaが纏めたものです。また、脆弱性識別番号（CVE）が付与されている脆弱性のみを集計対象にしています。
※2 本リリースで掲載しているパーセンテージは、小数点第一位を四捨五入した数値です。

レポート「Quantifying the Public Vulnerability Market: 2023 Edition」の詳細はこちら

トレンドマイクロCOOのKevin Simzerは次のように述べています。
「事業活動、重要インフラ、そして日常生活がますますソフトウェアに依存するようになる中、これらのシステムの安全性がかつてないほど重要になっています。トレンドマイクロが運営する脆弱性発見コミュニティZDI（Zero Day Initiative）は、脆弱性の開示に対する積極的なアプローチであり、当社の深い専門知識と組み合わせることで、これまで以上に迅速にお客様を保護できます。このリーダーシップはリスクを軽減し、企業の大幅なコスト削減につながるものであり、グローバルなサイバーセキュリティの強化と事業継続の支援に対する当社のコミットメントを示すものです」

Omdiaが実施した本調査は、脆弱性を調査・公開している9つの組織について、独自の比較分析を行い、2023年に公開されCVEが割り当てられた1,211件の脆弱性を分析しました。この調査ではZDIが2位と比較して2.5倍以上の脆弱性を報告していることが明らかにされています。Zero Day Initiativeは16年連続で世界最大のベンダー横断型の報奨金プログラムを提供しており、2007年の最初の調査以来、脆弱性管理のマーケットを牽引し続けています。

ZDIが報告した脆弱性は、深刻度別に、全体に対して緊急（Critical）の57％、重要（High）の58%、警告（Medium）の68％を占めています。報告されたすべての脆弱性は、悪意あるサイバー犯罪者によるゼロデイ攻撃を仕掛ける機会を減らすことに繋がります。

修正プログラムが適用されていない脆弱性への初期侵入によるデータ侵害の平均コスト試算は、2023年に445万ドルと過去最高を記録しています。この数字は、セキュリティ・インシデントが組織に与える経済的影響がいかに大きいかを物語っています。こうしたコストの要因には、検知とエスカレーション、通知、侵害後の対応、ビジネスの損失などがあります。

ZDIが新たに発見した脆弱性は、原則ZDIの開示方針に基づき、各ベンダーに報告後、修正プログラムの公開など適切な対応を確認した後に公開します。ZDIの開示方針の詳細はこちらをご覧下さい。

ベンダーに脆弱性が報告されると、ZDIによって得られた脆弱性情報は、すぐにトレンドマイクロのXDR、アタックサーフェスリスクマネジメント（ASRM）、仮想パッチ（IIPS）などの製品に組み込まれます。これによりトレンドマイクロのお客様は公式の修正プログラムがリリースされる前に、その脆弱性の対策ができることになります。

今後も、トレンドマイクロおよびZDIは、サイバー空間に存在する悪意あるサイバー犯罪者から社会を守るために、脆弱性の調査に積極的に取り組んでいきます。