ニュース
» 2006年11月16日 08時48分 公開

ゼロデイ攻撃が急増、VoIPも標的に――SANSが脆弱性リストの2006年版公開

2006年は未パッチの脆弱性を突いたゼロデイ攻撃が急増し、VoIPシステムでもリモートからコードを実行できる脆弱性が多数発覚した。

[ITmedia]

 SANS Instituteは11月15日、インターネット攻撃の標的にされやすい脆弱性上位20ランキングの2006年版を発表した。

 OS別の脆弱性ではInternet Explorer(IE)を筆頭に、Windowsライブラリ、Microsoft Office、WindowsサービスなどMicrosoftのWindowsに関する脆弱性が前年に続き上位を占めている。それに続き、Mac OS XやUNIX設定上の脆弱性も挙げられた。

 2006年は未パッチの脆弱性を突いたゼロデイ攻撃が急増したとSANSは指摘する。Microsoft製品、特にIEに攻撃が集中したが、Microsoftのほかのソフトも標的にされ、PowerPointやExcelといったOffice製品の脆弱性は前年の3倍に増加。Office製品だけでも2006年中に45件の深刻な脆弱性が見つかり、そのうち9件がゼロデイの脆弱性だったという。

 クロスプラットフォームアプリケーションの項目では、Webアプリケーション、データベースソフトに続き、3位にP2Pファイル交換アプリケーション、4位にインスタントメッセージング(IM)、5位にメディア再生ソフトが入った。

 ネットワークデバイスの項目ではVoIPサーバ/電話がトップに挙がった。VoIPシステムでリモートからコードを実行できる脆弱性が多数発覚。攻撃者がVoIPシステムに侵入して通話時間を"再販"し、被害者がその額を請求される事件も報告されているという。

 VoIPサーバが乗っ取られれば攻撃者が悪質なメッセージを電話網に挿入することが可能になり、最悪の場合、従来型の電話網がダウンさせられる可能性もあるとSANSは警鐘を鳴らしている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -