2007年は、ユーザーとWebアプリケーションが狙われた年だった――。SANS Internet Storm Centerがまとめた2007年のインターネットセキュリティ動向報告書でこう総括している。
企業や政府機関がシステムやネットワークのセキュリティを強化し、攻撃側が新たな手口でそれに対抗する「サイバー軍拡競争」が続く中、ファイアウォールやウイルス対策ソフトをかいくぐる狙いで、2007年は新たに2つの標的が浮上した。それが「だまされやすいユーザーと、カスタム版のアプリケーション」だという。
ユーザー標的の攻撃は、政府機関などからの公式通知を装ったメールで企業幹部などをだまし、社内ネットワークに不正侵入する「スピアフィッシング」の手口が浮上した。
一方、Webアプリケーションの脆弱性を突いたWebサイトポイズニングも注目された。2007年に報告された脆弱性のうち、半分はWebアプリケーションの脆弱性だったという。
しかし、これは氷山の一角にすぎないと報告書は指摘する。2007年は、この統計に含まれていないカスタム版のアプリケーションに対する攻撃も浮上。主に汎用ソフトの脆弱性が狙われていた前年とは、大きく様相が変わってきたとしている。
SANSが挙げる2007年のセキュリティリスク上位20項目は以下の通り。
- クライアントサイドの脆弱性:Webブラウザ、オフィスソフト、電子メールクライアント、メディアプレーヤー
- サーバサイドの脆弱性:Webアプリケーション、Windowsサービス、UNIX/Mac OSサービス、バックアップソフト、ウイルス対策ソフト、管理サーバ、データベースソフト
- セキュリティポリシーとユーザー:過剰なユーザー権限と無許可デバイス、フィッシング/スピアフィッシング、暗号化されていないノートPCとリムーバブルメディア
- アプリケーションの不正利用:インスタントメッセージング、P2Pプログラム
- ネットワーク機器:VoIP(Voice over IP)サーバ/電話
- ゼロデイ攻撃
関連記事
- VoIP、仮想化……McAfeeが予想する2008年の脅威トップ10
2008年はVoIPや仮想化、Web 2.0といった新技術の普及に伴ってそれに便乗した攻撃が増える見通しだ。 - 2008年のセキュリティはモバイルやWebの脅威に注目――Symantec
McAfeeに続き、Symantecが2008年のセキュリティ動向予想を発表した。 - プロ集団が仕掛けるサイバー攻撃、正規サイトの悪用も増加
Symantecの報告書によると、サイバー犯罪はプロがビジネスとして手掛ける傾向が強まり、正規サイトの脆弱性を悪用するケースも増えた。 - “利益追求型”サイバー犯罪者、次の狙いはオンラインゲーム
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.