2007年は、ユーザーとWebアプリケーションが狙われた年だった――。SANS Internet Storm Centerがまとめた2007年のインターネットセキュリティ動向報告書でこう総括している。
企業や政府機関がシステムやネットワークのセキュリティを強化し、攻撃側が新たな手口でそれに対抗する「サイバー軍拡競争」が続く中、ファイアウォールやウイルス対策ソフトをかいくぐる狙いで、2007年は新たに2つの標的が浮上した。それが「だまされやすいユーザーと、カスタム版のアプリケーション」だという。
ユーザー標的の攻撃は、政府機関などからの公式通知を装ったメールで企業幹部などをだまし、社内ネットワークに不正侵入する「スピアフィッシング」の手口が浮上した。
一方、Webアプリケーションの脆弱性を突いたWebサイトポイズニングも注目された。2007年に報告された脆弱性のうち、半分はWebアプリケーションの脆弱性だったという。
しかし、これは氷山の一角にすぎないと報告書は指摘する。2007年は、この統計に含まれていないカスタム版のアプリケーションに対する攻撃も浮上。主に汎用ソフトの脆弱性が狙われていた前年とは、大きく様相が変わってきたとしている。
SANSが挙げる2007年のセキュリティリスク上位20項目は以下の通り。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR