今年最大のターゲットは「人」――SANSセキュリティリポート

2007年最大の標的として浮上したのは「だまされやすいユーザーと、カスタム版のアプリケーション」だった。

» 2007年11月29日 10時49分 公開
[ITmedia]

 2007年は、ユーザーとWebアプリケーションが狙われた年だった――。SANS Internet Storm Centerがまとめた2007年のインターネットセキュリティ動向報告書でこう総括している。

 企業や政府機関がシステムやネットワークのセキュリティを強化し、攻撃側が新たな手口でそれに対抗する「サイバー軍拡競争」が続く中、ファイアウォールやウイルス対策ソフトをかいくぐる狙いで、2007年は新たに2つの標的が浮上した。それが「だまされやすいユーザーと、カスタム版のアプリケーション」だという。

 ユーザー標的の攻撃は、政府機関などからの公式通知を装ったメールで企業幹部などをだまし、社内ネットワークに不正侵入する「スピアフィッシング」の手口が浮上した。

 一方、Webアプリケーションの脆弱性を突いたWebサイトポイズニングも注目された。2007年に報告された脆弱性のうち、半分はWebアプリケーションの脆弱性だったという。

 しかし、これは氷山の一角にすぎないと報告書は指摘する。2007年は、この統計に含まれていないカスタム版のアプリケーションに対する攻撃も浮上。主に汎用ソフトの脆弱性が狙われていた前年とは、大きく様相が変わってきたとしている。

 SANSが挙げる2007年のセキュリティリスク上位20項目は以下の通り。

  • クライアントサイドの脆弱性:Webブラウザ、オフィスソフト、電子メールクライアント、メディアプレーヤー
  • サーバサイドの脆弱性:Webアプリケーション、Windowsサービス、UNIX/Mac OSサービス、バックアップソフト、ウイルス対策ソフト、管理サーバ、データベースソフト
  • セキュリティポリシーとユーザー:過剰なユーザー権限と無許可デバイス、フィッシング/スピアフィッシング、暗号化されていないノートPCとリムーバブルメディア
  • アプリケーションの不正利用:インスタントメッセージング、P2Pプログラム
  • ネットワーク機器:VoIP(Voice over IP)サーバ/電話
  • ゼロデイ攻撃

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ