米IBMは、3月下旬に公開した2011年通期のセキュリティレポート「X-Force 2011 Trend and Risk Report」の中で、アプリケーションの脆弱性や脆弱性の実証コード、スパムが大幅に減少した一方、SNSやモバイル端末を狙う攻撃や脆弱性悪用攻撃の高度化を指摘している。
レポートによれば、2011年におけるセキュリティの成果としては以下の点が明らかになった。ソフトウェアの脆弱性対策が進んだことや、IT企業と警察当局などによるボットネット閉鎖活動などが背景にあると分析している。
- スパムメールが2010年に比べて50%減少
- パッチの無いソフトウェア脆弱性が2010年は43%から36%に減少
- 脆弱性を悪用するための実証コードが過去4年平均に比べ30%減少
- クロスサイトスクリプティング(XSS)の脆弱性が4年前に比べて50%減少
だが、サイバー攻撃者側が攻撃手法を高度化させたり、新たな標的を選定したりする傾向が明らかになったという。
例えば、Webシステムに対する攻撃ではこれまで主流だったSQLインジェクションが46%減少する一方で、Webサーバ上で直接コマンドを実行可能なシェルコマンドインジェクションを狙う攻撃が3倍近く増加した。またSSHを狙いって脆弱なログインパスワードをネットワーク上で自動的にスキャンする手法が頻繁に用いられるようになった。
モバイル端末を狙う攻撃は、明らかになったものでも2011年に19%増加した。公開されていながらパッチが提供されていない脆弱性を抱えるモバイル端末が出回り、ユーザーがこうした端末を複数所有していることから、絶好の攻撃対象になっているという。
ソーシャル関連ではフィッシングメール攻撃が、2010年から2011年前半にかけて下火になったが、2011年後半は2008年の水準にまでに増加した。ソーシャルメディア上で個人や仕事に関する情報を多く公開されるようになり、攻撃者が公共機関や企業のシステムに攻撃を仕掛けるための情報を、こうした場で収集しているとみられる。
また、レポートではクラウドコンピューティングの普及で新たな課題が浮上したとも指摘。2011年は著名な企業や機関のクラウドを狙う攻撃が増えており、ITセキュリティ担当の部署には、サードパーティーのクラウドプロバイダーにどのようなデータを提供しているのかを把握し、データの機密性に応じて、クラウドに預けるものとそうしないデータを精査する必要があると解説する。
クラウドではユーザー側が講じられるセキュリティ施策は極めて少ないか皆無であり、それよりは、クラウド上で管理するデータの情報セキュリティ要件を集中的に検討し、クラウドプロバイダーがデータの安全性を確保するための十分な能力を有しているかを適切に評価すべきだとアドバイスしている。
関連記事
- 政府関係機関を狙う標的型メールが最多に、IBMの2011年下半期レポート
- 携帯狙いの不正コードや標的型攻撃が増加、IBMの上半期セキュリティ報告書
- 「セキュリティ システムズ事業部」を新設した日本IBM、事業戦略を語る
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.