Internet Watch logo
記事検索
最新ニュース

シマンテック、2003年上半期のセキュリティレポート


 シマンテックは、2003年上半期のインターネットセキュリティ動向をまとめたレポート「Internet Security Threat Report(ISTR)」を発表した。このレポートは、シマンテックの法人顧客(500件)や、世界180カ国に設置された20,000以上の「DeepSight Threat Management System」からの情報をまとめたもので、半年ごとに発表している。


複合型脅威が増大~発生期間が短縮し、増殖スピードも増す

 2003年上半期のISTRでは、2003年1月~6月にかけて発生したウイルスやワームなどをまとめており、不正なコードと脆弱性を組み合わせて攻撃する「複合型脅威」が増加していると指摘。この期間、不正コード被害のうち複合型は60%を占め、発生件数では20%増加している。

 また、脆弱性が発見されてから攻撃が発生するまでの期間が短くなっており、増殖スピードも増しているという。「CodeRedでは数日かかっていたのが、Slammerは10数分間で感染が拡大した」(システムエンジニアリング本部本部長の野々下幸治氏)と実例を挙げて説明。さらに、発見されてから1年未満の新しい脆弱性を狙うケースは64%、危険性の高い脆弱性を狙うケースは66%に達し、企業・個人に関わらず最新の修正プログラムを適用する必要性があると強調した。


システムエンジニアリング本部本部長の野々下幸治氏 脆弱性発見から攻撃が発生するまでの期間が短くなっているという

IISやIEを狙うケースが増加~機密情報を狙うワームにも注意

 攻撃の動向としては、全体件数で19%の増加。1週間あたりの攻撃件数でも、平均で1社あたり約38件と、2002年上半期の約32件と比べて増加している。特に、2003年上半期に新しく脆弱性が発見されたInternet Infomation Services(IIS)や、Internet Explorer(IE)をターゲットにした攻撃が増えたという。「IISには公表されていない脆弱性がまだあるので引き続き注意が必要。IEは広範に利用されており、こちらも潜在的な危険性が非常に高い。ユーザーが気づかないうちに、悪質なコードやスパイウェアが送り込まれている可能性もある」(野々下氏)。このほかに、SQLやファイル共有など非公開サービスを狙ったケースも増え、CIFS、NetBios名前サービスなどを狙ったケースも含めると、ネットワークスキャン活動全体の51%に達したという。

 野々下氏は、注意すべき傾向として「感染症状を明確に表わさないウイルスが増えてきている」と警告。バックドアを開けることによって、金融機関の機密情報を狙うワーム「Bugbear.B」を初め、同様のケースが2002年同期比で50%増加したという。また、ワームがあまりにも増加したため、人間の手によってあたかもワームが活動しているかのように偽装する攻撃が増えたと指摘。「IRCを使ってボット・ネットワークにコマンドを送信すれば、DDoS攻撃を一斉に仕掛けることも可能だ」としている。


米国からの攻撃がもっとも多いが、“深刻な攻撃”は減少

米国からの攻撃が最多。中国、ドイツと続く
 IPアドレスを調査し、攻撃元になった国も特定した。調査によれば、1位は全体の51%を占めた米国で、5%を占めた中国が2位。前回1位だった韓国は4%で4位、日本は2%で9位となっている。なお、ネットユーザー数1万人あたりの攻撃元回数がもっとも多かったのはイスラエルだった。ただし、他の端末を踏み台にした攻撃に関しては、攻撃元となった端末のIPアドレスまでは特定できない。

 シマンテックでは、実際にシステムなどに侵入された場合に“深刻な攻撃”としている。今回の調査では、深刻な攻撃が2002年上半期の23%から11%へ減少した。同社では、法人顧客がセキュリティ態勢を強化したことを一因に挙げている。


悪質なコードが高度化する一方、新たな脆弱性も

 野々下氏によれば、「悪質なコードはますます高度化している」という。Linuxに関しても言及し、「研究機関が研究目的で開発しているLinux用ワームを常に監視している。今までは大きな問題になっていないが、今後はLinuxに対する攻撃も本格化するのではないか」と見方を示した。また、Windowsに関しても、「Win32を狙う高度なウイルスやワームなどが増加している」という。2003年前半で994個発見され、前年同時期の445個と比較して倍以上の数値を示している。

 また、インスタントメッセージング(IM)やP2Pネットワークを狙うケースが1年間で400%増加。不正コードによる被害件数上位50件のうち、19件はIMやP2Pを攻撃したものだった。「IMやP2Pなどの新しいサービスは、セキュリティが万全でないため狙われやすい。企業でIMを用いているケースもあるようだが、セキュリティ機能を備えた商用アプリケーションを利用すべきだ」と指摘した。

 脆弱性については、リモートから攻撃可能なものが全体の80%にも達した。全体では1,432件に上る脆弱性を記録したが、前年と比較すると12%の増加となる。2002年上半期が対前年比82%で増加しており、増加率で比較すると「今年は緩やかな増加」になる。ただし、Exploit Codeなしで攻撃できるWebアプリケーションの脆弱性は前年より12%増加した。「入力内容や設定方法によっては侵入できる場合があるので、高度なスキルは不要」だとし、注意を促している。

 また、ゼロで割り算した場合にオーバーフローが発生する「整数オーバーフローエラー」に関する脆弱性が19件あったほか、システムの反応速度を計測することにより、攻撃に必要な情報を得る「タイミング分析とサイドチャンネル」に関する脆弱性などの新たなタイプの脆弱性も発見された。整数オーバーフローエラーについては、「Sendmail」のアドレスプレスキャン機能、タイミング分析とサイドチャンネルについては、OpenSSHのリモートからのroot認証における脆弱性を具体例に挙げた。


個人ユーザーも企業と同等のセキュリティ意識を

 野々下氏は、「このレポートの作成中に内容を裏付けるBlaster、Welchia、Sobigなどのウイルスが発生した」とし、今後も新たな脆弱性を狙う「複合型脅威」が増加すると予測する。さらに、「これまでSlammerなどは、企業のサーバーなどを対象にしていたが、Blasterは個人ユーザーを狙う」点が、感染を拡大した一因だと指摘。今後は個人でも、ファイアウォールやIDSなどのセキュリティ管理を行なう必要がある。また、どれを適用しているか、適用していないかなど、修正プログラムの管理も怠ってはならない」と、個人ユーザーがセキュリティ意識を向上させる必要があると強調した。

 野々下氏は、「企業に関わらず不要なポートは閉じるべきだ。DCOMやSQLなど、個人で利用するには必要ない受信用のポートは閉じてしまっていい」とコメントした。常に最新の修正プログラムを適用する以外に、企業に関しては、パスワードの運用ポリシーを厳格に適用することや、添付されているウイルスをメールサーバーで削除すること、緊急対応時の手順を明確にしておくこと、セキュリティ関連予算の確保、従業員のトレーニングなどを推奨。個人ユーザーに対しては、ウイルス対策ソフトやファイアウォール、IDSなどのアプリケーションを同時に利用することを推奨したほか、「企業と同様に最新の情報を得るようにして欲しい」と訴えた。


関連情報

URL
  ニュースリリース
  http://www.symantec.com/region/jp/news/year03/031015b.html

米Symantec、最新インターネットセキュリティ脅威報告書を公開(2003/10/02)


( 鷹木 創 )
2003/10/15 19:50

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2003 Impress Corporation All rights reserved.