ゼロデイ攻撃が急増、VoIPも標的に――SANSが脆弱性リストの2006年版公開

2006年は未パッチの脆弱性を突いたゼロデイ攻撃が急増し、VoIPシステムでもリモートからコードを実行できる脆弱性が多数発覚した。

[ITmedia]

　SANS Instituteは11月15日、インターネット攻撃の標的にされやすい脆弱性上位20ランキングの2006年版を発表した。

　OS別の脆弱性ではInternet Explorer（IE）を筆頭に、Windowsライブラリ、Microsoft Office、WindowsサービスなどMicrosoftのWindowsに関する脆弱性が前年に続き上位を占めている。それに続き、Mac OS XやUNIX設定上の脆弱性も挙げられた。

　2006年は未パッチの脆弱性を突いたゼロデイ攻撃が急増したとSANSは指摘する。Microsoft製品、特にIEに攻撃が集中したが、Microsoftのほかのソフトも標的にされ、PowerPointやExcelといったOffice製品の脆弱性は前年の3倍に増加。Office製品だけでも2006年中に45件の深刻な脆弱性が見つかり、そのうち9件がゼロデイの脆弱性だったという。

　クロスプラットフォームアプリケーションの項目では、Webアプリケーション、データベースソフトに続き、3位にP2Pファイル交換アプリケーション、4位にインスタントメッセージング（IM）、5位にメディア再生ソフトが入った。

　ネットワークデバイスの項目ではVoIPサーバ／電話がトップに挙がった。VoIPシステムでリモートからコードを実行できる脆弱性が多数発覚。攻撃者がVoIPシステムに侵入して通話時間を"再販"し、被害者がその額を請求される事件も報告されているという。

　VoIPサーバが乗っ取られれば攻撃者が悪質なメッセージを電話網に挿入することが可能になり、最悪の場合、従来型の電話網がダウンさせられる可能性もあるとSANSは警鐘を鳴らしている。