2006年は未パッチの脆弱性を突いたゼロデイ攻撃が急増し、VoIPシステムでもリモートからコードを実行できる脆弱性が多数発覚した。
SANS Instituteは11月15日、インターネット攻撃の標的にされやすい脆弱性上位20ランキングの2006年版を発表した。
OS別の脆弱性ではInternet Explorer(IE)を筆頭に、Windowsライブラリ、Microsoft Office、WindowsサービスなどMicrosoftのWindowsに関する脆弱性が前年に続き上位を占めている。それに続き、Mac OS XやUNIX設定上の脆弱性も挙げられた。
2006年は未パッチの脆弱性を突いたゼロデイ攻撃が急増したとSANSは指摘する。Microsoft製品、特にIEに攻撃が集中したが、Microsoftのほかのソフトも標的にされ、PowerPointやExcelといったOffice製品の脆弱性は前年の3倍に増加。Office製品だけでも2006年中に45件の深刻な脆弱性が見つかり、そのうち9件がゼロデイの脆弱性だったという。
クロスプラットフォームアプリケーションの項目では、Webアプリケーション、データベースソフトに続き、3位にP2Pファイル交換アプリケーション、4位にインスタントメッセージング(IM)、5位にメディア再生ソフトが入った。
ネットワークデバイスの項目ではVoIPサーバ/電話がトップに挙がった。VoIPシステムでリモートからコードを実行できる脆弱性が多数発覚。攻撃者がVoIPシステムに侵入して通話時間を"再販"し、被害者がその額を請求される事件も報告されているという。
VoIPサーバが乗っ取られれば攻撃者が悪質なメッセージを電話網に挿入することが可能になり、最悪の場合、従来型の電話網がダウンさせられる可能性もあるとSANSは警鐘を鳴らしている。
Copyright © ITmedia, Inc. All Rights Reserved.