脆弱性の公開基準が無いのは問題――IBMが指摘24時間以内のエクスプロイト公開が急増

「ユーザーに配慮しない脆弱性情報の公開はかえって危険を招く」とISSは指摘する。

» 2008年07月30日 17時05分 公開
[ITmedia]

 米IBM Intenet Security Systems(ISS)は7月29日、2008年1〜6月期のセキュリティトレンドリポートを発表した。この中で、脆弱性情報の公開のあり方について提言している。

 リポートによると、Webに関連したエクスプロイトのうち、94%は脆弱性情報の公開から24時間以内に出現していることが明らかになった。ISSは、自動化ツールなどの活用によって悪用コードを従来以上の早さで生成できるようになったと分析。多数のエクスプロイト作成ツールがブラックマーケットで流通しているとみられる。

上半期ごとの脆弱性公開件数の推移(ISSリポートから)

 ISSはエクスプロイト作成ツールの普及以外にも、脆弱性情報の公開基準が存在していないことを問題視している。脆弱性の存在がユーザーに知れ渡る前に、攻撃者の活動を促してしまう可能性があると指摘する。

 脆弱性情報は、セキュリティパッチやアドバイザリーなどと一緒に公表されることが多いが、同時に攻撃コードも開示されることがある。ISSは、セキュリティ業界の統一した情報の公開方法や基準の必要性が問われているとリポートの中で述べている。

過去のセキュリティニュース一覧はこちら

関連キーワード

脆弱性 | ISS | 基準 | エクスプロイト | IBM


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ