新OSリリースで脆弱性の数は引き続き増加――米IBMが2007年を予測

米IBMの傘下にあるInternet Security Systemsがまとめたレポートによると、2007年は新OSの投入により、さらに多くの脆弱性が発見される可能性が高いという。

[ITmedia]

　スパムの量は2005年に比べて100％増加し、スパムの題名としてもっとも頻繁に使われた言葉は「Re: hi」。今後も攻撃は高度化し、新OSの登場によって脆弱性の数はさらに増えるだろう――。米IBMの傘下にあるInternet Security SystemsのX-Forceチームの調査により、こんな状況が明らかになった。

　IBMは1月30日、2006年のセキュリティ状況をまとめたレポート「IBM X-Force 2006 Trend Statistics」を公開した。

　これによると、2006年に発見された脆弱性の数は、前年から40％近く増加し7247件に上った。1日あたり20件というペースだ。うち、影響が大きい脆弱性の比率は、2005年の28％から18％へと低下した。ただ一方で、金銭を目的としたサイバー攻撃の高度化傾向は今後も続くと予想されるという。

　高度化する攻撃の一例が、Webブラウザをターゲットとした攻撃だ。こうした攻撃は、既存のセキュリティソリューションによる検出を免れるため、より目立たない方向に向かっているという。また、難読化や暗号化といった手法を用いて、シグネチャベースの検出を困難にしている。

　IBMによれば、悪意あるWebサイトにホスティングされていた攻撃コードのうち約50％に、難読化やカモフラージュの手法が用いられおり、30％はペイロード（中身）が暗号化されていた。

　しかも、この世界では商業化が進行している。攻撃コード（Exploit）の「マネージドプロバイダー」がブラックマーケットでExploitを買い取り、それを元にスパム事業者相手の取り引きを行っているという具合だ。通常の企業間取引と同じように組織化が進んでおり、それゆえに、シグネチャベースの保護の効果は薄れることになるだろうという。

　IBMはこの状況を、SaaS（Software as a Service）をもじって、新たに生まれつつある「exploits as a service」（サービスとしてのExploit）産業と表現している。

　高度化する攻撃のもう1つの例として挙げられたのは、既存のスパムフィルタをかいくぐる画像スパムだ。同社によると、画像スパムはスパム全体の40％以上を占めるまでにいたったという。

　なおスパムに関しては、数は2005年に比べて100％増加し、米国、スペインおよびフランスが3大発信地だった。また、スパムメールで最も多く使われた件名は「Re: hi」というありきたりのものだったという。

　IBMでは、特に新OSのリリースによって、2007年も脆弱性の数は引き続き増えると予測している。Windows Vistaでは、以前のOSに比べ広範なセキュリティ監査を受けており、多くのセキュリティ機能が追加されるのは事実だ。だが、その複雑さが新たな脆弱性を導くだけでなく、サードパーティが同時にリリースする新バージョンにも新たな脆弱性が発見される可能性が高いという。