ニュース
» 2009年03月23日 07時15分 公開

PCの保護も同時に:事業に影響する脆弱性の解消を――シマンテックが対策呼び掛け

シマンテックは、Webサイトやアプリケーションに存在する脆弱性の放置がビジネスに影響を与えるとして、脆弱性検査などの対策実施を訴えた。

[國谷武史,ITmedia]

 システムに残された脆弱性が企業活動に深刻な影響を与える――シマンテックは、企業などが運営するWebサイトの脆弱を突いて不正に改ざんする攻撃や、PCのアプリケーションを突いて不正に制御するなどの被害が増加しているとして、対策の実施を呼び掛けた。

 セキュリティ企業各社が2008年に増加したコンピュータ被害に挙げているものが、インターネットを通じたマルウェア感染だ。攻撃者が脆弱性を持つWebサイトに不正侵入して、閲覧者をマルウェア感染サイトへ誘導するためのリンクを仕掛ける攻撃や、実在する名称などをかたったスパムメールや偽サイトを通じて、PC利用者にマルウェアダウンロードするように仕向ける攻撃が多数確認された。

浜田氏

 いずれのケースでも、攻撃者が悪用するのがシステムに残されたままの脆弱性で、脆弱性の放置は企業のビジネスに深刻な影響を与えると同社は指摘する。サイトが改ざんされれば、閲覧者がマルウェアに感染するという直接的な被害が発生するだけでなく、企業にはセキュリティ管理が徹底されていないといった社会的な信頼の喪失や風評被害などももたらす。PCがマルウェアに感染すれば、内部に保存された重要情報の盗難や、ほかのPCへ攻撃するための踏み台に悪用させるなどの影響が出る。

 解析作業を担当するセキュリティレスポンスチームシニアマネジャーの浜田譲治氏は、「2008年は世界で約80万8000ドメインが改ざん被害を受けた。1ドメインでも改ざんされたWebページが複数に及ぶケースもあり、実際の被害はさらに深刻ではないか」と話す。

 一般サイトが狙われる背景には、多数の閲覧者がいることや、閲覧者の警戒心が薄いこと、動画といった高度な技術を多用するサイトが増加したことがある。サイトのシステム構成が複雑になればなるほど、脆弱性が残存する可能性も高まる。

 攻撃者側にはインターネット経由で脆弱性を発見したり、脆弱性を突いたりするための攻撃ツールが広く普及しており、容易に攻撃できる環境になりつつあるという。脆弱性を抱えたサイトを改ざんし、次に閲覧者のPCに存在する脆弱性を悪用して別の攻撃を行うというのがサイバー攻撃のモデルケースとなりつつある。

 シマンテックは脆弱性を悪用する攻撃に備えるサービスや製品として、Webアプリケーションの脆弱性検査サービスと、クライアントPCを保護する「EndPoint Protection 11.0」「Network Access Control 11.0」という管理ツールを提供している。

シマンテックが提供するシステム脆弱性への対策

 Webアプリケーションの脆弱性検査サービスでは、設計資料やソースコードなどから脆弱性を洗い出して分析・リポートする内容や、アプリケーションのアーキテクチャをベースに診断する内容を用意する。また、これらの参考情報を用いず、攻撃者の視点で擬似的に不正侵入を行って脆弱性を診断する内容も提供する。

 検査項目は、SQLインジェクションやクロスサイトスクリプティングなどの一般的な内容からシステムの論理構成までで約20種類になる。事前にヒアリングをして、具体的な検査項目や実施規模の計画を策定し、検査する。その後に分析と結果の報告、リポートの提出、改善策のアドバイスなど提供する。Webサイトの運営が事業に大きく影響する場合は、サービス停止などが伴わないように必要最低限の内容で実施する。

 診断サービスを9年間担当している上級コンサルタントのアイザック・ドーソン氏は、「脆弱性を無くすための開発技術が進化しても、攻撃はそれを上回るペースで増えている。脆弱性の放置がビジネスに影響するケースが世界で報告されており、経営層は自社システムに対する脅威の現状に目を向けていただきたい」と話す。

 EndPoint Protection 11.0やNetwork Access Control 11.0は、PCに対する外部からの脅威を未然に防ぐ機能を提供するという。EndPoint Protection 11.0では、「TruScan」という独自の解析技術で、定義ファイルでは対処できない未知の不正なプログラムを監視して、実行を阻止する。Network Access Control 11.0では、OSやインストールされたアプリケーションへの修正パッチが適用されていない場合に、自動的に最新の状態にするよう改善する。

 製品担当マネジャーの池永彰氏は、「新出のウイルス数が膨大な規模になり、定義ファイルの開発が追いつかない状態となりつつある。ウイルス対策のみでは防ぎきれないため、未知のものを解析する技術や脆弱性を可能な限り解消する仕組みで、被害を最小化できる」と説明している。

過去のセキュリティニュース一覧はこちら

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -