PR

 近年、Adobe Flash PlayerやOracle Java Runtime Environment(以降JREと記載)などの脆弱性を悪用し、ユーザーのパソコン(PC)をウイルスに感染させて、オンラインバンキングを不正利用したりPCを乗っ取ったりする事件が報道されるようになってきた。

 特にPCが乗っ取られDDoS攻撃やスパムメール送信などの踏み台に悪用されてしまうと、被害はユーザー自身にとどまらず外部にも及び、他社への攻撃に加担する立場となってしまう。

 このような被害に遭わないために、企業ユーザーだけではなく、家庭でPCを使うユーザーも、クライアントソフトウエアの脆弱性に適切に対策を施した状態でPCを使うことが重要になる。

 本連載では、クライアントソフトウエアが狙われる背景と近年のクライアントソフトウエアの脆弱性を狙った攻撃事例を交えて、ユーザーがとるべき有効な対策を紹介する。さらにゼロデイ攻撃への一時的な対策として注目されているMicrosoft社のEMET(Enhanced Mitigation Experience Toolkit)を使って攻撃緩和策の有効性を検証する。

 第1回目の本稿では、クライアントソフトウエアの脆弱性を狙った攻撃が行われる背景と近年の脆弱性を狙った攻撃事例について紹介する。

クライアントソフトウエアが狙われる背景

 クライアントソフトウエアが狙われる理由は下記の点が考えられる。

  1. クライアントのユーザーはセキュリティ意識が低い傾向にあり、脆弱性が適切に対策されていない
  2. 有益な情報が端末内で利用・保存されている
  3. 攻撃対象となるターゲット数が多い
  4. 悪用できる脆弱性が豊富

1.クライアントのユーザーはセキュリティ意識が低い傾向にある

 サーバー管理者と比べて、クライアントのユーザーはセキュリティ意識が低い傾向にある。IPA(独立行政法人情報処理推進機構)が公開している「2012年度情報セキュリティの脅威に対する意識調査報告書」ではユーザー(PCでインターネット接続している15歳以上の利用者)のクライアントソフトウエアのバージョンアップ状況をまとめているが、その中で「Adobe Readerのバージョンアップ」は「45.1%」という結果だった(図1)。Adobe Readerのバージョンアップは脆弱性対策として基本的なものにもかかわらず、半数以上のユーザーが脆弱性を放置して、適切な対策が取とっていない。こうした数値からもユーザーの脆弱性に対する意識の低さが把握できる。

図1●情報セキュリティ対策の実施状況
図1●情報セキュリティ対策の実施状況
(2012年度情報セキュリティの脅威に対する意識調査報告書より抜粋)
[画像のクリックで拡大表示]