ターゲットはOSからアプリへ、米SANSがセキュリティリスク報告書


「The Top Cyber Security Risks」のページ

 米SANSは15日、コンピュータセキュリティリスクについてまとめた報告書「The Top Cyber Security Risks」を公開した。SANSは、情報セキュリティ分野で最大の情報源とされる研究・教育組織で、脆弱性情報サイトとしてもよく知られている。

 報告書によると、最近の傾向として、攻撃の対象はOSからアプリケーションへと大きく移行しているという。例えば、Adobe Reader、Adobe Flash、QuickTime、Microsoft Officeなどの脆弱性が、パッチを適用されないまま放置され、そこを足がかりに大企業など組織内の情報にアクセスしようとする試みが後を絶たない。

 特に信頼しているサイトからドキュメントをダウンロードするのは安全だと多くのユーザーが考えているため、簡単にドキュメントや音楽、動画を開いてしまうことになる。攻撃によっては、ドキュメントを開く必要すらない場合もあるという。

 脆弱性の件数においても、OSの脆弱性よりも、アプリケーションの脆弱性の方がはるかに多い。しかも、OSの脆弱性は、最近の努力の結果として速やかに修正されるようになったのに対し、アプリケーションの脆弱性はそれよりはるかに長い時間がかかっている。平均的な組織では、アプリケーションの脆弱性の修正にかかる時間は、OSの脆弱性の修正にかかる時間の倍だとしている。これも問題が悪化する要因だ。この事態についてSANSでは、「言葉を換えれば、最高の優先順位を持つリスクは、より優先順位の低いリスクよりも注目されていない」と指摘する。

 アプリケーションに次ぐ2番目の攻撃対象は、Webアプリケーションの脆弱性だ。これらはインターネット上で観測される攻撃の試みのうち、60%以上を占めるとされる。特にSQLインジェクションとクロスサイトスクリプティング(XSS)の脆弱性に対する攻撃は全体の80%を超える。これほど多くの攻撃が仕掛けられているにもかかわらず、ほとんどのWebサイトオーナーは、脆弱性を効果的に発見することができず、犯罪者に隙を与えることになっている。

 調査が行われた期間中、OSを狙ったメジャーな新種ワームは発見されなかったが、「Conficker/Downloadup」は活発に活動を続けていた。こうした状況においても、Windowsに対するバッファオーバーフローの脆弱性を使用した攻撃は、5月・6月から7月・8月にかけて3倍に増加し、Windowsに対する攻撃の90%を占めたとされる。

 また、ゼロデイ脆弱性の危険性にも注意する必要がある。中には2年以上放置された脆弱性もあるという。特に政府やソフトウェアベンダーで働く脆弱性研究者は不足気味で、防御側は攻撃側に比べて不利な状況にあると指摘している。


関連情報


(青木 大我 taiga@scientist.com)

2009/9/16 12:45