エンタープライズ:ニュース 2003/10/16 02:18:00 更新


シマンテックが語る2003年上半期のセキュリティ事情 (2/2)

 同社が今回発表したレポートは、「Internet Security Threat Report」(ISTR)と呼ばれるもので、サイバー・セキュリティ活動の動向をまとめた包括的な分析レポートとして知られる。同レポートには、ネットワーク・ベースの攻撃、発見されたり悪用されたりした脆弱性についての概要、および不正なコードの動向に関する要点などが含まれている。

全体の動向:複合型が台頭。その増殖スピードは加速傾向

 同レポートによれば、不正なコードと、サイバー攻撃の原因となる脆弱性とを組み合わせた複合型脅威(たとえばSlammer、Blaster)の発生件数が増加しているという。2003年上半期には、不正なコードによる被害のうち、複合型脅威が60%を占めており、2002年下半期と比べ、その発生件数は20%増加している。複合型脅威は、現在も発生頻度が最も高い脅威だとしている。

 また、複合型脅威のターゲットとしては、Microsoft IISやInternet Explorerがその対象となりやすいとし、その目的が機密情報の詐取である場合もありうるとしている。

 さらに、複合型脅威が感染を広げる速度も加速する傾向にある。Slammerワームを例に取ると、わずか数時間のうちに世界中のシステムに影響を及ぼしている。また、最近のBlasterワームは、1時間あたり2,500台ものコンピュータに感染している。

攻撃の動向と内容

 攻撃活動全体の件数は、19%の増加。1週間の攻撃件数は、2002年上半期では1社あたり32件だったのが、2003年上半期では1社あたり約38件となっている。

 攻撃の内容を見ると、多数のシステム上で露出やセキュリティ・ホールを引き起こすための手段として既知の脆弱性を悪用するべく、ますますワームを利用する傾向が強くなっている。攻撃者は、侵入したそれらのシステム上にバックドアとなるトロイの木馬をインストールし、将来の攻撃を実行する際に利用できるように、制御下に置かれたシステムの巨大なネットワーク(ボット・ネットと呼ばれる)を作り上げており、IRCなどを使ってDDoSなどの攻撃を実行可能である。

 また、偵察活動の測定結果から、ネットワークスキャン活動の上位10件のうち、CIFS、NetBios名前サービス、Microsoft SQLを狙ったものが51%に達していることが判明している。攻撃元となる国を見ると、米国が51%で圧倒的な数字となっている(日本は9位)。なお、インターネットユーザー数1万人あたりで見ると、攻撃元となる回数で1位となっているのはイスラエルであった。

不正なコードの動向

 2003年上半期には、994件を超す新種のWin32ウイルスおよびワームが記録されているという。これは2002年上半期に記録されている445件の倍以上の数字である。

 また、インスタントメッセージング(IM)やピアツーピア(P2P)ネットワーキングの利用が増加するのに伴い、それらの機構を使って感染する新種のワームやウイルスがわずか1年で約400%増加している。2003年上半期に記録された不正なコードによる被害の上位50件のうち、19件はIMまたはP2Pを使っておりいる。 このほか、Linuxシステムも攻撃のターゲットになる可能性が示唆されている。同社は研究目的でLinuxワームを監視しているが、今期は特に問題になるような攻撃はなかったとしている。

脆弱性の動向

 脆弱性の件数は、2002年上半期と比べて、10%の増加となっている。2003年上半期に発見された脆弱性の70%は、攻撃コードがまったく不要であったり、あるいは簡単に入手可能なために、容易に悪用できる可能性がある、と述べられている。

 また、2003年上半期中に記録されたすべての攻撃のうち、66%が、「非常に深刻」と分類された脆弱性を悪用していたことも示されている。そのほか、リモートから攻撃可能な脆弱性は全体の80%、Webアプリケーションの脆弱性は前年同期比で12%となっている。

 なお、今回のレポートでは、脆弱性に対する攻撃者の嗜好性についての分析結果も初めて紹介された。これによると、新手の攻撃のうち、64%が、1年未満の脆弱性を狙ったものとなっている。

 さらに、次の2つの脆弱性については、今後注意が必要としている。

  • 整数オーバーフローエラーに関する脆弱性

 2003年上半期は19件の脆弱性が発見されている(前年同期は3件)。プログラミングのミスにより、ソフトウェアの中で清秋を正しく扱えない場合に起こるとしている。

  • タイミング分析とサイドチャンネルに関する脆弱性

 これまであまり見られなかったが、最近件数が増加傾向であるとしている。増加の理由としては、この種の攻撃を扱った論文が2件発表されたことが可能性の1つとして示されている。これらの脆弱性は、システム上のインプリメンテーションに関係しており、特定タスクの実行に要する時間の測定によって、攻撃に必要な情報が得られるか推測可能だとしている。

推奨される最善の対策

 同レポートでは、ユーザーや管理者に対して、情報資産をより堅固に守るために、適切なセキュリティ対策を講じることが推奨されている。ここでは企業向けの10か条を紹介する。

  • 不要なサービスは、オフにするか削除する
  • 1つないし複数のネットワークサービスが複合型脅威に狙われた場合、パッチ当てが済むまで該当サービスを無効にするかアクセスをブロックする
  • 常に最新のパッチを当てる。特に、HTTP、FTP、メールおよびDNSといった公開サービスのホストや、ファイアウォール経由でアクセスできるようなコンピュータは要注意
  • パスワード・ポリシーを実施する
  • メールサーバの設定を変更し、ウイルスの増殖に用いられることが多いファイル(.vbs、.bat、.exe、.pif、.scrなど)が添付されているメールをブロックするか削除する
  • 感染したコンピュータは速やかに隔離し、被害の拡大を防ぐ。犯罪科学の手法で分析を行い、信頼のおけるメディアを使ってコンピュータを復元する
  • 従業員のトレーニング。怪しい添付ファイルは開かないこと、インターネットからダウンロードしたファイルはウイルス・スキャンしてから実行することを徹底する
  • 緊急時対応の手順を明確にしておく
  • 経営陣に説明を行い、セキュリティに予算が必要であることを理解してもらう
  • セキュリティテストを行い、保護対策が適切に機能しているか確認する
関連リンク
▼シマンテック

前のページ | 1 2 |      

[西尾泰三,ITmedia]