PR
IT pro セキュリティランキング
(2007年1月1日~4月22日)
1位 P2PソフトShareの暗号を解析,ネットワーク可視化システムを開発
2位 最優秀アンチウイルス・ソフトは「AntiVirusKit」,最下位は「Microsoft OneCare」
3位 ブラウザはどんどん使いづらくなる
4位 自分あての電話が勝手に転送される? NTT東西が注意を喚起
5位 パソコンのファイルを勝手に公開するウイルス、Googleマップで場所まで分かる
6位 フリーメールの盲点
7位 「ファイルを消しちゃうよ♪」、Winnyで拡散する“アニメウイルス”
8位 第1回 悪意のJavaScriptで情報が漏えい
9位 第3回 ウイルス対策ソフトは効果なし
10位 Windows XP/2003のTCP同時接続数制限とその回避
11位 スパム,だましの手口
12位 マイクロソフトが緊急パッチを公開、ユーザーは早急に適用しよう
13位 パスワード・クラック
14位 大日本印刷の業務委託先の電算処理室勤務元社員,クレジットカード番号などの個人情報を863万件持ち出し
15位 「危ないのはアダルトサイトだけではない」、ワンクリック詐欺の相談が過去最多
16位 セキュリティ格差社会がやってくる?
17位 Windowsに新たなセキュリティホール、被害例が「YouTube」で公開中
18位 ネットで“パスワード破り”が横行、侵入されると詐欺に悪用
19位 スパムメール(1) --- 届いたスパムメールを分類してみる
20位 コンピュータ・ウイルス(マルウエア)

 情報漏えい,フィッシング詐欺,ワンクリック詐欺,悪質なウイルス,スパム・メール--。2007年1月から4月も,いろいろとインシデント(セキュリティに関する出来事)があった。読者の皆さんにとって,重大なトピックは何だっただろうか。

 参考として,今年1月から4月のセキュリティ記事のアクセス・ランキング(トップ20)を紹介しておく。よく読まれた記事の中で,このところ目立ってきたトピックの一つは,Webアプリケーションに潜むクロスサイト・スクリプティングのぜい弱性に関するものである。クロスサイト・スクリプティングのぜい弱性とは,Webアプリケーションの入力フォームなどからWebサイトに悪質なJavaScriptを送り込める弱点。攻撃者は,正規のコンテンツにスクリプトを埋め込んで他のユーザーのブラウザで実行させ,機密情報などを盗み取る。

【関連記事】
 ◆ブラウザはどんどん使いづらくなる
 ◆第1回 悪意のJavaScriptで情報が漏えい
 ◆特番●変わる企業セキュリティの常識

 クロスサイト・スクリプティングという手口自体は数年前から指摘されており,新しいものではない。ぜい弱性を抱えたWebサイトも以前から多く見付かっている。重要なのは,Webサイト側での対応があまり進んでいないことと,Web 2.0と総称される類のアプリケーションの多くに同じ危険性が潜んでいることだ。実際,日本国内のソフトウエア製品のぜい弱性対応状況を公開するJVN(Japan Vulnerability Notes)のサイトを見ると,RSSリーダー,ブログ/SNS管理ソフトなどについて,クロスサイト・スクリプティングのぜい弱性情報がぞろぞろ並ぶ。2月には米国で,デスクトップ検索の「Googleデスクトップ」についても,同種のぜい弱性が報告された。

【関連記事】
 ◆Googleのデスクトップ検索ソフトにぜい弱性,「Webとの緊密な連携が仇に」

 JavaScriptを悪用した攻撃として,「ドライブバイ・ファーミング」という手口も出てきた。悪質なJavaScriptを使ってユーザーのブロードバンド・ルーターに登録されているDNS(ドメイン名サーバー)情報を書き換え,ユーザーのWebアクセスをすべて悪質なサイトに誘導。ここでWebアクセスを中継し,通常のブラウジングと変わりなく見せることで,犯罪者はユーザーに気付かせないまま情報を盗み出すのである。

【関連記事】
 ◆【CRYPTO-GRAM日本語版】ドライブバイ・ファーミング(Drive-By Pharming)
 ◆ブロードバンド・ルーターの設定を書き換えて偽サイトに誘導してパスワードやクレジットカードの番号を盗み出す攻撃をなんというでしょう?

 いまや,エンドユーザーの利便性を考えると,JavaScriptなしでのWebアプリケーションはほとんど考えられない。むしろ,Web 2.0の流れで利用は加速している。Webサイト/Webアプリケーション開発者側での対策,そしてブラウザ側での対策が急務である。

 エンドユーザーに見えない攻撃としては,昨年あたりから目立っている「ゼロデイ攻撃」もある。2007年にも,Windows,Office,一太郎に関して,それぞれゼロデイのぜい弱性,攻撃が報告された。

【関連記事】
 ◆Windowsサーバーにゼロデイ攻撃ウイルス、いまだ修正パッチなし
 ◆Windows ServerのDNSサービスへのゼロデイ攻撃が見つかる
 ◆OfficeとWindowsに対するゼロデイ攻撃コードの存在を確認,McAfeeが警告
 ◆一太郎を狙うゼロデイウイルスの実体、痕跡を残さずにPCを乗っ取る
 ◆第3回 ウイルス対策ソフトは効果なし

 ゼロデイ攻撃は,企業内の特定個人をねらい撃ちして重要情報を盗み出す「スピア型攻撃」のきっかけになる。フィッシング詐欺やワンクリック詐欺と同様に,犯罪者は巧妙な手口でユーザーを落とし穴へと導こうとする。少なくとも,メールの不審な添付ファイルは開かないなどの基本対策は改めて徹底しておきたい。

 最後に,情報漏えいについても改めて気を配りたい。アクセス・ランキングの14位に入った大日本印刷の大規模情報漏えい事件は記憶に新しい。漏えいした個人情報は863万7405件と,日本では過去最大級だ。ちょうど同時期,米国でも小売業のTJXの,なんと4500万件という規模の情報漏えい事件が発覚している。

【関連記事】
 ◆大日本印刷の業務委託先の電算処理室勤務元社員,クレジットカード番号などの個人情報を863万件持ち出し
 ◆米小売り大手のTJX,過去1年半の大規模な情報流出を確認
 ◆TJXのデータ流出事件に関する考察

 セキュリティに限らず,ルールは形骸化しやしもの。個人情報保護法の施行から時間が経過し,報道もパソコンの紛失など比較的「小粒」な話題は数が減った。世の中も,過熱気味な状態から落ち着きを取り戻したように見える。半面,当時は徹底しようとしていた対策がなおざりになってきていないか。大規模な漏えい事件は,気を引き締め直すいいチャンスかもしれない。