海の向こうの“セキュリティ”

　9月は、フランスの議会で違法ダウンロードを規制する、いわゆる「スリーストライク法」が承認された件や、米国税庁を騙るスパムの被害の拡大などの話題がありましたが、今回はSANS Instituteが発表した報告書から紹介します。

●SANSによる脅威分析報告書

　SANSが「The Top Cyber Security Risks」と題した報告書を公開しました。これは、TippingPointから提供された約6000の組織のデータと、Qualysから提供された900万のシステムのデータに基づいた分析結果をまとめたもので、対象期間は今年の3月から8月です。

　報告書によると、現在のインターネットセキュリティにおける最大の脅威は、OSの脆弱性ではなく、クライアント側のアプリケーションソフトウェアの脆弱性であるとしています。例えば、Adobe ReaderやFlash、QuickTime、Microsoft Officeといったソフトウェアの脆弱性が悪用されるケースが増えており、また、OSに比べてそのようなソフトウェアのパッチ適用が遅れがちであることもリスクを高める要因になっていると指摘しています。

　もう1つの脅威が、SQLインジェクションやクロスサイトスクリプティングなどのWebアプリケーションの脆弱性です。インターネット上で観測された攻撃（の試み）のうち60％以上が、このようなWebアプリケーションに対する攻撃なのだそうです。

　上記のほかに言及しているポイントとして、いわゆる「ワーム」に繋がるような遠隔から侵入可能なOSの脆弱性が徐々に減って来ている一方で、ゼロデイ攻撃に使われる脆弱性の数は飛躍的に増えて来ているとしています。

　セキュリティ対策の現場でさまざまな情報収集をしている方であれば、上記の内容はいずれも感覚的に反しないものだと思いますが、この中からいくつかのポイントについて詳しく紹介します。

　まず、OSの脆弱性に比べてアプリケーションの脆弱性の方がリスクが高いという点。そもそも攻撃対象とされるOSの数とアプリケーションの数を比較すれば、アプリケーションの数の方が圧倒的に多いわけですから、アプリケーションの脆弱性が数として多いのは当然です。

　また、最近の代表的なOSは自動更新機能、または容易にセキュリティ修正が行なえる仕組みを持っているものがほとんどであるのに対し、アプリケーションはまちまち。当然ながら更新漏れが生じやすくなります。さらに、OSの更新はほとんど無条件に行なうユーザーでも、アプリケーションの更新はなかなか行わないという状況も、実態としてピンと来る方は多いと思います。

　実際にこの報告書では、Windowsに対するパッチ適用は15日程度で半分以上が完了するのに対して、Microsoft OfficeやAdobe Reader、Flash、Javaなどに対してはなかなか適用されない状況がデータを元に示されています。

　Javaに関しては、新しいバージョンをインストールしても古いバージョンがアンインストールされないため、リスクが残ってしまうという問題も指摘されています。

　このように既知の脆弱性に対してですら、OSに比べて注意を払われることが少ないアプリケーションですが、この報告書にも示されているように、対象期間中に観測されたゼロデイ攻撃に悪用された脆弱性には、アプリケーションの脆弱性もあったという点に注意が必要です。

　一方、OSの脆弱性に目を向けると、遠隔から侵入可能な脆弱性は減って来ています。例えば、そのような脆弱性を悪用した最近の攻撃としては、Conficker/Downadupワームがありますが、これが悪用している脆弱性はMS08-067。この報告書によると、調査対象期間で攻撃に悪用されたWindowsの脆弱性のうち92％が、このMS08-067なのだそうです（図1）。もちろん、この攻撃自体は深刻なものですが、MS08-067さえ解決していればWindowsに対する攻撃の90％以上を防ぐことができるという点で、WindowsというOSそのものが持っているリスクは以前に比べると相対的に減って来ていると言えるかもしれません。

図1　攻撃に悪用されたWindowsの脆弱性の内訳（SANS Institute「The Top Cyber Security Risks」より）

　このようにアプリケーション側のリスクが相対的に高まっているのに対して、ユーザー側（システム管理者含む）がそのリスクに対してあまり注意を払っていない（ように見える）現状を、問題であるとこの報告書は強く指摘しています。「OSさえ更新しておけばOK」とまでは思っていなくても、「とりあえずはOS」と思って、アプリケーションについては後回しにしているユーザーやシステム管理者は少なくないでしょう。その「油断」がリスクを高めているというわけです。

　さらにこの報告書が指摘している問題点で注目すべきは、発見される数が飛躍的に増え続けている脆弱性に、ソフトウェアベンダーらが対応し切れていないという点です。これがゼロデイ攻撃を増大させている原因（の1つ）であり、その問題の根幹は、脆弱性に対応できる研究者や技術者が政府やソフトウェアベンダーに足りないからだとしています。これはかねてから指摘されていた問題点ですが、最近のゼロデイ攻撃の増加や、発見されてから2年もの間パッチが提供されない脆弱性が存在しているという現状を考えると、そろそろ抜本的な問題解決に向けた動きが求められるのではないでしょうか。

◆The Top Cyber Security Risks
http://www.sans.org/top-cyber-security-risks/

◆Network World（2009年9月22日付記事）
http://www.networkworld.com/news/2009/092209-researchers-overwhelming-vendors-with-security.html

●9月のマルウェア感染PC数が15％増加

　Panda Securityのマルウェア分析検知研究所であるPandaLabsが、9月のマルウェア感染PCの総数が前月に比べて15％増えたことを検知したと発表しました。また、「感染率」は59％で今年最悪を記録したそうです。ただし、この「感染率」は、フリーのPanda ActiveScanオンラインアンチウイルスでユーザーがコンピュータをスキャンした結果に基づくものであり、インターネット上のすべてのPCに対する感染率ではないことに注意が必要です。

　なお、国や地域別の感染率を示したのが図2です。

図2　国・地域別の感染率（PandaLabsの発表資料より）

　感染率が最も高いのは69.10％の台湾で、以下、ロシア、中国、スペイン、アルゼンチンと続いています。日本は50.07％で19位です。また、マルウェアのタイプについては図3のような結果が得られています。

図3　米国におけるマルウェアの感染件数とタイプ（PandaLabsの発表資料より）

　かなり煽り気味のデータなので、この数字そのものを真に受けるべきではありませんが、1つの参考データとしては面白い内容だと思います。

◆PandaLabsの発表資料
http://www.pandasecurity.com/usa/homeusers/media/press-releases/viewnews?noticia=9874

◆CNET News（2009年9月29日付記事）
http://news.cnet.com/8301-1009_3-10363373-83.html

●韓国のネットバンキング取り引き額、1日あたり33兆ウォン

　セキュリティそのものの話題ではありませんが、「インターネット先進国」と呼ばれている韓国では、インターネットバンキングで取り引きされる金額が1日あたり33兆ウォン（約2.5兆円）に及ぶとの報道がありました。

　韓国金融監督庁による資料「2005年～2009年上半期都市銀行別インターネットバンキング取引日平均利用件数および取引規模」によると、1日あたりの取引金額は以下のように推移して来たそうです。

　2005年　12兆7880億ウォン
　2006年　16兆8350億ウォン
　2007年　22兆9500億ウォン
　2008年　27兆9570億ウォン
　2009年　33兆8300億ウォン（※6月末時点）

　また、1日あたりの取り引き件数は以下の通り。

　2005年　296万5000件
　2006年　308万4000件
　2007年　378万900件
　2008年　455万件
　2009年　635万1000件（※6月末時点）

　一方、インターネットバンキングの加入者数は6月末時点で5267万5000人（韓国の総人口は5000万人弱、重複加入含む）。特に20代から30代の利用者が多いそうです。

　かねてより韓国ではインターネットバンキングが普及しているとは聞いていましたが、具体的な数字で見せられると、やはりこれには驚かされます。

　しかしこれだけ普及していながら、7月上旬に発生したDDoS攻撃に対して韓国の銀行サイトが脆弱だったことなど、セキュリティ対策の不十分さも露呈しており、気になるところではあります。

◆マネートゥデイ（2009年9月29日付記事）
http://www.mt.co.kr/view/mtview.php?no=2009092909323934734