事業に影響する脆弱性の解消を――シマンテックが対策呼び掛け:PCの保護も同時に
シマンテックは、Webサイトやアプリケーションに存在する脆弱性の放置がビジネスに影響を与えるとして、脆弱性検査などの対策実施を訴えた。
システムに残された脆弱性が企業活動に深刻な影響を与える――シマンテックは、企業などが運営するWebサイトの脆弱を突いて不正に改ざんする攻撃や、PCのアプリケーションを突いて不正に制御するなどの被害が増加しているとして、対策の実施を呼び掛けた。
セキュリティ企業各社が2008年に増加したコンピュータ被害に挙げているものが、インターネットを通じたマルウェア感染だ。攻撃者が脆弱性を持つWebサイトに不正侵入して、閲覧者をマルウェア感染サイトへ誘導するためのリンクを仕掛ける攻撃や、実在する名称などをかたったスパムメールや偽サイトを通じて、PC利用者にマルウェアダウンロードするように仕向ける攻撃が多数確認された。
浜田氏いずれのケースでも、攻撃者が悪用するのがシステムに残されたままの脆弱性で、脆弱性の放置は企業のビジネスに深刻な影響を与えると同社は指摘する。サイトが改ざんされれば、閲覧者がマルウェアに感染するという直接的な被害が発生するだけでなく、企業にはセキュリティ管理が徹底されていないといった社会的な信頼の喪失や風評被害などももたらす。PCがマルウェアに感染すれば、内部に保存された重要情報の盗難や、ほかのPCへ攻撃するための踏み台に悪用させるなどの影響が出る。
解析作業を担当するセキュリティレスポンスチームシニアマネジャーの浜田譲治氏は、「2008年は世界で約80万8000ドメインが改ざん被害を受けた。1ドメインでも改ざんされたWebページが複数に及ぶケースもあり、実際の被害はさらに深刻ではないか」と話す。
一般サイトが狙われる背景には、多数の閲覧者がいることや、閲覧者の警戒心が薄いこと、動画といった高度な技術を多用するサイトが増加したことがある。サイトのシステム構成が複雑になればなるほど、脆弱性が残存する可能性も高まる。
攻撃者側にはインターネット経由で脆弱性を発見したり、脆弱性を突いたりするための攻撃ツールが広く普及しており、容易に攻撃できる環境になりつつあるという。脆弱性を抱えたサイトを改ざんし、次に閲覧者のPCに存在する脆弱性を悪用して別の攻撃を行うというのがサイバー攻撃のモデルケースとなりつつある。
シマンテックは脆弱性を悪用する攻撃に備えるサービスや製品として、Webアプリケーションの脆弱性検査サービスと、クライアントPCを保護する「EndPoint Protection 11.0」「Network Access Control 11.0」という管理ツールを提供している。
Webアプリケーションの脆弱性検査サービスでは、設計資料やソースコードなどから脆弱性を洗い出して分析・リポートする内容や、アプリケーションのアーキテクチャをベースに診断する内容を用意する。また、これらの参考情報を用いず、攻撃者の視点で擬似的に不正侵入を行って脆弱性を診断する内容も提供する。
検査項目は、SQLインジェクションやクロスサイトスクリプティングなどの一般的な内容からシステムの論理構成までで約20種類になる。事前にヒアリングをして、具体的な検査項目や実施規模の計画を策定し、検査する。その後に分析と結果の報告、リポートの提出、改善策のアドバイスなど提供する。Webサイトの運営が事業に大きく影響する場合は、サービス停止などが伴わないように必要最低限の内容で実施する。
診断サービスを9年間担当している上級コンサルタントのアイザック・ドーソン氏は、「脆弱性を無くすための開発技術が進化しても、攻撃はそれを上回るペースで増えている。脆弱性の放置がビジネスに影響するケースが世界で報告されており、経営層は自社システムに対する脅威の現状に目を向けていただきたい」と話す。
EndPoint Protection 11.0やNetwork Access Control 11.0は、PCに対する外部からの脅威を未然に防ぐ機能を提供するという。EndPoint Protection 11.0では、「TruScan」という独自の解析技術で、定義ファイルでは対処できない未知の不正なプログラムを監視して、実行を阻止する。Network Access Control 11.0では、OSやインストールされたアプリケーションへの修正パッチが適用されていない場合に、自動的に最新の状態にするよう改善する。
製品担当マネジャーの池永彰氏は、「新出のウイルス数が膨大な規模になり、定義ファイルの開発が追いつかない状態となりつつある。ウイルス対策のみでは防ぎきれないため、未知のものを解析する技術や脆弱性を可能な限り解消する仕組みで、被害を最小化できる」と説明している。
関連記事
セキュリティ機能から身を隠すDownadupの亜種が見つかる
新たに発見れさたDownadup/Confickerの亜種は、感染マシンのセキュリティ対策を無効にして、自身を保護する機能を持っていた。
CIOを補佐するセキュリティ監督者の育成を――シマンテックが提言
企業活動に占めるITの重要性が増し、「万が一の事故に備えて専任で活動する権限を持った情報セキュリティ担当者を設置すべき」とシマンテックは提起する。
「新機能ほしいが導入が面倒」――PCセキュリティに対する管理者のホンネ
USBメモリなどへの新たなセキュリティ対策を希望しつつも、実際には導入時におけるコストが壁になっている様子が、シマンテックの調査で明らかになった。
10月のMS脆弱性問題、企業ばかりに被害多発
10月に発見されたMicrosoft Windowsの脆弱性問題では、アンチウイルスのみの対策をしていた企業に多数の被害が発生したという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- ゼロトラストの最新トレンド5つをガートナーが発表
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- AIを作る、使う人たちへ 生成AI普及で変わった「AI事業者ガイドライン」を読もう
- WordPressプラグイン「Forminator」にCVSS 9.8の脆弱性 急ぎ対処を
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- Appleの生成AI「MM1」は何ができるの? 他のLLMを凌駕する性能とは
ITmediaはアイティメディア株式会社の登録商標です。