United States Computer Emergency Readiness Team (US-CERT)は5月12日(米国時間)、「Top 10 Routinely Exploited Vulnerabilities|CISA」において、2016年から2019年に悪用された脆弱性について伝えた。US-CERTはCVE-2017-11882、CVE-2017-0199、CVE-2017-5638、CVE-2012-0158 、CVE-2019-0604、CVE-2017-0143、CVE-2018-4878、CVE-2017-8759、CVE-2015-1641、CVE-2018-7600が悪用された脆弱性トップ10と認識しており、その概要をまとめて報告している。

2016年から2019年にかけて悪用された脆弱性に関して、US-CERTがまとめた概要で主な注目点は次のとおり。

Microsoft OLE (Object Linking and Embedding)技術の悪用例が多い。OLEに次いで悪用された技術はApache StrutsなどのWebフレームワーク

サイバー攻撃者は一貫してMicrosoftおよびAdobe Flashの脆弱性を悪用していた。その理由は、これらの技術が広く使われていたことにあると見られる

報告されている脆弱性、その脆弱性を含む代表的なプロダクト、その脆弱性を悪用したマルウェアなどは次のとおり。

Top 10 Routinely Exploited Vulnerabilities|CISA

ソフトウェアの脆弱性は尽きることなく見つかっており、常にアップデートして問題に対処することが望まれる。脆弱性情報は常に最新のデータを手に入れるとともに、アップデートが公開された場合は迅速に適用することが望まれる。