PR

 セキュリティ組織の米SANS Instituteは米国時間11月27日,2007年におけるインターネットの「セキュリティ・リスクのトップ20」を発表した。2006年の調査結果では,一般的なソフトウエアのぜい弱性を突く攻撃が多かった。しかし,2007年はファイアウオールやウイルス対策ツールなどを回避するために,「だまされやすいユーザー」と「カスタム・アプリケーション」への攻撃が増加する傾向が見られたという。

 報告によれば,2007年はインターネット・ユーザーにとってWebベースのアプリケーションと米MicrosoftのOffice製品のぜい弱性が大きな脅威になったという。報告されたぜい弱性の半数がWebアプリケーションに関連するものだったが,これにはカスタム・アプリケーションのぜい弱性が含まれていないため,氷山の一角に過ぎないという。また,米Qualysの調査によれば,Office製品のぜい弱性の数は2006年から約300%増加している。自動化されたプログラムがぜい弱なシステムを探して攻撃を仕掛けるため,新しく見つかったぜい弱性だけでなく,古いぜい弱性も攻撃の対象になっているという。

 2007年の「セキュリティ・リスクのトップ20」には,特定のターゲットを狙ってウイルスを送り込んだりフィッシングを仕掛けるスピア・フィッシング攻撃が入った。米Webrootによれば,スパイウエアを配布するWebサイトの数は2007年1月から183%増加しており,現在キーストロークを盗むスパイウエアやトロイの木馬に感染しているシステムの割合は31%にのぼるという。

 SANSが発表した2007年の「セキュリティ・リスクのトップ20」は次の通り。2006年のトップ20は実際に20個だったが,2007年は「トップ20」として以下の18個がリストアップされた。

・クライアント・サイドのぜい弱性:
   - Webブラウザ
   - Officeソフトウエア
   - 電子メール・クライアント
   - メディア・プレーヤ

・サーバー・サイドのぜい弱性:
   - Webアプリケーション
   - Windowsサービス
   - UnixおよびMac OSサービス
   - バックアップ・ソフトウエア
   - ウイルス対策ソフトウエア
   - 管理サーバー
   - データベース・ソフトウエア

・セキュリティ・ポリシーとユーザー:
   - 過剰なユーザー権限および無許可のデバイス
   - フィッシング/スピア・フィッシング
   - 暗号化されていないノート・パソコンおよびリムーバブル・メディア

・アプリケーションの不正使用:
   - インスタント・メッセージング
   - ピア・ツー・ピア型プログラム

・ネットワーク機器:
   - VoIPサーバーと電話

・ゼロデイ攻撃:
   - ゼロデイ攻撃

発表資料へ