目立たない脆弱性が標的に、Ciscoのセキュリティ報告書

セキュリティチームがHeartbleedのような脆弱性への対応に追われている間に、目立たないレガシーアプリケーションやインフラの既知の脆弱性が悪用されているという。

» 2014年08月06日 07時36分 公開
[鈴木聖子,ITmedia]

 米Ciscoは8月5日、2014年上半期のセキュリティ動向に関する報告書を発表した。古くなったソフトウェアやコードの不備、使わなくなったデジタル資産、ユーザーのミスといった組織の「弱点」が狙われる実態について解説している。

 2014年上半期のセキュリティ業界では「Heartbleed」と呼ばれるOpenSSLの重大な脆弱性が4月に発覚して注目を浴びた。しかしCiscoによれば、セキュリティチームがHeartbleedのような脆弱性への対応に追われている間に、目立たないレガシーアプリケーションやインフラの既知の脆弱性が悪用されているという。

 「危険度が高く一般的で見えにくい脅威よりも、名高い脆弱性にスポットが当てられている現状が、組織を危険にさらしている」と同社は解説する。

 多国籍企業16社について調べた結果では、顧客のネットワークのほぼ94%でマルウェアをホスティングしているWebサイトへのトラフィックが見つかったと報告。攻撃側がボットネットに感染させたネットワークの不正なトラフィックを隠そうとしている実態や、盗んだデータを暗号化して検出を免れようとしている実態も浮かび上がった。

 悪用されることの多いソフトウェアは依然としてJavaが筆頭に挙がり、悪用される割合も2013年に比べて増加している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ