「ゼロデイ脆弱性」、存在に気が付くまでの期間は平均10ヶ月

danceman 曰く、　セキュリティベンダーが修正パッチをリリースしていない脆弱性は「ゼロデイ脆弱性」と呼ばれている。しかし、SymantecがAssociation of Computing Machineryで発表した調査報告によれば、脆弱性が悪用されてからベンダーがその脆弱性に気がつくまで、平均して312日もかかっているのだという。「マイナス312デイ脆弱性」の方が名称として相応しいのではないかとのこと（本家/.、Forbes記事）。

　同調査ではSymantecのアンチウィルスソフトを使って、1100万台のPCに関するデータを基にゼロデイ攻撃の分析を行ったところ、2008年2月から2010年3月までの間に18件ものゼロデイ攻撃が検出され、そのうちゼロデイ脆弱性として既に認識されていたものはわずか7件だけだったとのこと。しかも、ベンダーが脆弱性の存在を認識するまでに平均して312日かかっていることが分かった。

　なかには2年半も気付かれずにいた脆弱性もあり、2010年以降に公表された脆弱性については、1件の例外はあったものの、いずれも発見までに16か月以上かかっていた。つまりこれは、予想以上に沢山のゼロデイ攻撃が行われていることを示しているとのこと。

　スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ

　関連ストーリー：
Microsof は IE のゼロデイ脆弱性を 2 か月近く前から知っていたのか 2012年09月26日
IE6〜9にゼロデイ攻撃 2012年09月19日
IE と Office の 脆弱性を使ったゼロデイ攻撃が広がる 2012年06月22日