2004年の脅威、変わったのは脆弱性の「悪用方法」

情報処理推進機構セキュリティセンターは、2004年のセキュリティ状況をまとめた資料「コンピュータ・セキュリティ 〜2004年の傾向と今後の対策〜」を公開した。

» 2005年03月31日 22時21分 公開
[高橋睦美,ITmedia]

 情報処理推進機構セキュリティセンター(IPA/ISEC)は3月31日、2004年のセキュリティ状況をまとめた資料「コンピュータ・セキュリティ 〜2004年の傾向と今後の対策〜」を公開した

 この資料は、2004年に発見された脆弱性や攻撃の傾向をまとめ、一般ユーザーおよびシステム管理者それぞれに必要なセキュリティ対策を示したもの。末尾には、2004年に発生したセキュリティ被害の原因となった代表的な脆弱性、19件がまとめられている。

 この資料によれば、2004年は、発見された脆弱性の数や種類に大きな変化は見られなかった。変わったのは「その悪用方法」だ。特に、ただ単に脆弱性を攻撃するのではなく、騙りや詐欺を組み合わせてソフトウェアを利用する「人」を狙った攻撃が増加しつつあるという。その代表例が「フィッシング詐欺」だ。

 このほか、発見されないようにひそかに活動する「ボット」や、次々に亜種が登場する「ウイルス」に対する注意が必要だという。資料では一般ユーザー向けの対策として「パッチの適用」「対策ソフトの導入」に加え、「信頼できないソフトウェアは使わない」「個人情報の入力を促すメールは信用しない」といった心構えの必要性を説いている。

 またシステム管理者に対しては、「個人情報の漏えい」「Webサイトの改ざん」のように、脆弱性が原因となって社会的に大きな影響のある事件が発生している点を指摘。それを踏まえて対策を一過性のものに終わらせず、システムの設計段階からセキュリティを意識するほか、定期的なセキュリティ検査を通じて継続的なセキュリティ対策/運用を実施するよう推奨している。

 合わせて、TCP/IPのプロトコルに発見された脆弱性のように、複数のベンダーの製品に存在する影響範囲の広い脆弱性が複数発見されたことにも言及。「仕様が脆弱性という観点からも注目されるきっかけとなった年」だったとしている。

 資料の末尾にまとめられている「2004年の脆弱性Top 19」は、必ずしも2004年に「発見された」脆弱性ばかりではない。中には、2003年に発覚しBlasterワームにも狙われた「Windows RPCの脆弱性」や、2002年に発見されいまだにWeb改ざんに悪用されている「OpenSSHの脆弱性」といった問題が含まれており、古い脆弱性が放置されているケースが珍しくないことが分かる。

 なお、この資料は、IPAやJPCERT/CC、電子情報技術産業協会、日本パーソナルコンピュータソフトウエア協会など業界団体の関係者に加え、情報セキュリティに携わる研究者や実務担当者などの有志からなる「コンピュータ・セキュリティ検討会」による検討の成果をまとめたものだ。

Copyright © ITmedia, Inc. All Rights Reserved.