2024年の脆弱性を分析:Linux の発生件数は 967% 増/全体的な悪用件数は 96% 増

New Linux Vulnerabilities Surge 967% in a Year

2025/05/15 InfoSecurity — 2024年に Linux と macOS で発見された脆弱性の件数が劇的に増加したと、Action1 の最新分析が語っている。サイバー・セキュリティ・ベンダーである Action1 の、2025 Software Vulnerability Ratings Report は、National Vulnerability Database (NVD) とSecurityScorecard の CVEdetails.com サイトの詳細分析をベースにしたものだ。Action1 の推計によると、2024年に発見された脆弱性の総数は、前年比で 61% 増の 6,761件となるが、Linux の脆弱性は “前例のない” 967%増の 3,329件に達したという。

macOS プラットフォームの脆弱性も、前年比で 95%増と大幅に増加し、合計で 508件に達した。周知のとおり、どちらの UNIX ベース・エコシステムも、伝統的に安全なプラットフォームの一つとして考えられてきた。

この Action1 のレポートでは、悪用された脆弱性の件数が、2023年の 101件から 2024年の 198件へと、96% の急増になると警告している。2024年の傾向を牽引したのは、Web Browser と Microsoft Office だと思われる。

Google Chrome においては、悪用された脆弱性が 5件から 97件へと、1840% も増加した。その一方で、Office では 433% 増の 32件となった。

その他の注目すべき調査結果は、以下のとおりである。

Critical な脆弱性は年間で 37% も増加し、2024年には 2930件に達する見込みだ。Linux などのオペレーティング・システムにおける、Critical な脆弱性は 499件から 851件に増加し、MSSQL などのデータベースでは 606%増の 120件へと増加している。 これらの数値が、全体的なレベルを強く押し上げている。

データベースで新たに発見された脆弱性の件数は、前年比で 213%増加し、Critical と評価された脆弱性は、前年比で 505% 増となる。この数値は、MSSQL (606% 増) と、MySQL (100% 増) によるものだ。

Web ブラウザで新たに悪用された脆弱性の件数は前年比で 657% 増となり、その中における、リモート・コード実行 (RCE) の脆弱性は 107% の増加となる。

また、すべてのカテゴリにおいて悪用された RCE 脆弱性は、7% 増の 537件と、わずかに増加している。

このレポートが指摘するのは、「組織が直面するサイバー・セキュリティ・リスクの深刻化を浮き彫りにするのは、Critical な脆弱性や、悪用される脆弱性の件数が、一貫して前年比で増加していることだ。これらのリスクを軽減するために、企業において必要なことは、堅牢なパッチ適用プロセスの導入と、脅威検出能力の強化である。さらに、ベンダーおよびサプライチェーンに関する徹底的なリスク評価を実施し、セキュリティ・ポリシーとセキュリティ・プラクティスを継続的に改善する必要がある」という点だ。

その一方で、明るい兆しもある。それは、オペレーティング・システムにおける RCE 脆弱性の減少であり、Linux (前年比 -85%) と macOS (前年比-44%) という数値が出ている。

絶弱性によるリスクを軽減するための主なステップ

ユーザー組織におけるセキュリティ体制の強化のために、Action1 は以下の方法を推奨している:

  • 継続的な脅威を検出するためのツールを導入し、レジリエンスを維持する。
  • 重要なシステムである、オペレーティング・システム/Webブラウザ/モバイル・プラットフォームおよび、RCE 脆弱性の影響を受けやすいシステムである、デスクトップ・オペレーティング・システムやデータベースなどへの対応を優先し、タイムリーにパッチを適用する。
  • 一般的なアプリケーションに関連するリスクについて、従業員への教育を強化する。
  • すべてのソフトウェアにおいて、包括的な脆弱性管理を確実に実施する。
  • サードパーティ製ソフトウェアを選択する際に、徹底したリスク評価を実施する。

Linux の脆弱性が急増している背景には、Linux プロジェクト自体が CVE 採番機関 (CNA:CVE Numbering Authority) として 2024年2月に認定され、独自に CVE 番号を発行できるようになったことも関係していそうです。また、Google や Microsoft といった他の企業も CVE の割り当てを始めており、今後も件数はさらに増えていくのではないかと思います。よろしければ、以下の関連記事も、Vulnerability + Statistics で検索と併せて、ご参照ください。

2025/04/24:2025 Q1 の悪用 CVE は 159件 – VulnCheck
2025/02/03:2024年に悪用された CVE は768件 – VulnCheck
2025/01/06:2024年の総括:40,000件以上の脆弱性が公開
2024/11/13:Google Cloud の新たな取組:CVE を割当
2024/06/30:Microsoft の転換:クラウドにも CVE を発行