ウェブ感染型マルウェアに対して31%は対策が不十分、NRIセキュア


NRIセキュアテクノロジーズの高梨素良氏

 NRIセキュアテクノロジーズ株式会社(NRIセキュア)は6日、同社が企業向けに提供しているセキュリティ診断サービスなどから得られたデータをもとに分析した「サイバーセキュリティ 傾向分析レポート 2010」を公開した。

 レポートによれば、セキュリティ診断サービスの対象システムのうち31%が、アクセス制限などを用いずにリモートログインサービスを公開していた。また、全体の22%が非暗号化通信によるリモートログインサービスを公開しており、11%がFTPサービスを公開していた。

 NRIセキュアでは、2009年度に猛威を振るった「Gumblar」型の攻撃でFTPサービスが狙われたように、何らかの形でリモートログインを公開しているサービスでは、たとえ基盤やアプリケーションが堅牢にできていたとしても、組織内の端末がウェブ感染型マルウェアに感染した場合、システムが被害に被害に遭う可能性があったと分析している。

 外部ネットワークからの直接的な攻撃は、TCP 445番ポートに対するアクセスが2009年度を通じて上昇し、全攻撃の18%を占めた。これは、2009年初頭に現れたマルウェア「Conficker」の影響と考えられ、同様に「SQL Slammer」などマルウェアによるものと思われる攻撃が多数を占めた。NRIセキュアでは、対象となったほぼすべての企業にはファイアウォールが導入されているため、こうした攻撃の影響は少なかったが、一方で内部のマシンからのアクセスについては対策が遅れており、1つの機器が攻撃の被害に遭った場合、システム全体に被害が拡散する可能性が高いと警告している。

対象システムの31%がアクセス制限などを用いずに何らかのリモートログインサービスを公開「Conficker」によるものと考えられるTCP 445番ポートへのアクセスが年間を通じて増加

 ウェブアプリケーションに対する攻撃も依然として続いており、IDS(侵入検知システム)で検知された攻撃のうち22%がクロスサイトスクリプティング攻撃、11%がSQLインジェクション攻撃だった。NRIセキュアが診断サービスを行ったシステムのうち、36%のサイトが危険な状態で、17%にSQLインジェクションの脆弱性が発見されたという。SQLインジェクションの脆弱性が発見されたシステムのうち、80%強は一部に対策漏れがあったもので、対策の網羅性・完全性が不十分であるケースが多かった。

 NRIセキュアでセキュリティエンジニアを務める高梨素良氏は、「ネットワークを通じた攻撃に対してはファイアウォールの導入など対策が進んだが、ウェブアプリケーションへの攻撃には課題を残している企業もあり、さらにウェブ感染型マルウェアという新たな対策ポイントも増えた状況」と説明。企業システムを守るためには、インターネットとの接点になる境界の防御だけでは足りず、内部の機器や端末を含めた各所での多層防御が必要となると指摘し、「システムの状況を把握し、ポイントを抑えたコスト効率的な対策が2010年代に求められる戦略だ」と語った。

診断したシステムの17%にSQLインジェクションの脆弱性が発見された今後は境界の防御だけでなく、内部の機器や端末を含めた多層防御が重要

関連情報

(三柳 英樹)

2010/7/6 14:49