派手なワームは影を潜める――ラックが2006年前半の侵入傾向レポート

ラックは、同社のセキュリティ監視センター、JSOC（Japan Security Operation Center）で蓄積してきたログを元に、2006年前半の侵入傾向をまとめた。

[ITmedia]

　特定のワームが社内ネットワーク全体に被害を及ぼすような派手なセキュリティインシデントは影を潜め、代わりに、自らの存在を発見されないよう密かに動作するワームやボットが増加してきた――。

　ラックは10月30日、同社のセキュリティ監視センター、JSOC（Japan Security Operation Center）を通じて蓄積してきたセキュリティ機器のログを元に、2006年前半の侵入傾向をまとめ、レポートして公開した。ファイアウォールやIDS／IPSなどのログに相関分析を加えて攻撃／侵入手法の傾向を分析したもので、国内独特の傾向が反映されているという。

　まず、インターネットから企業ネットワークへの攻撃の傾向を見ると、2005年まではソフトウェアベンダーが販売しているパッケージ型アプリケーションに存在する脆弱性が攻撃される傾向が高かったのに対し、2006年に入ると、企業が独自に開発したアプリケーションが狙われている。特に、脆弱なWebアプリケーションを狙ったSQLインジェクションが激増しているという。SQLインジェクション攻撃は2005年から増加傾向にあったが、2006年になってその傾向に拍車がかかり、2006年2月には140件を超える攻撃がカウントされた。

　IISやApacheといったWebサーバソフトウェアの場合、開発元やベンダーから脆弱性情報やパッチが公開されるケースが一般的であり、対策は比較的行いやすい。しかし、企業が独自に開発したアプリケーションの場合、脆弱性を発見するには「自発的にセキュリティ診断を実施する必要がある」とラックは指摘している。

　また、2006年4月以降、FTPサーバに対しIDとパスワードを総当たりで試して侵入を試みるブルートフォース攻撃が急増している点にも注意が必要という。FTPサーバが狙われる理由として、不正なファイル交換サーバやフィッシングサイト構築を目的として悪用される可能性が考えられるとしている。

　一方、内部ネットワークの攻撃状況を見ると、ワームの感染活動が全体的に減少傾向を見せる一方で、P2Pアプリケーションが検出されるケースが増加してきた。中でも、管理が各々にゆだねられるケースの多い教育機関で大半が検出されていることから、注意が必要という。