セキュリティに関する研究や教育活動を行っているSANS Instituteは15日、サイバーセキュリティのリスクについてまとめたレポートを公開した。2009年3月から8月までのデータが分析されている。
同レポートでは、攻撃の対象がOSからアプリケーションへと変わりつつあることが指摘されている。ここ数年、アプリケーションにおいて、OSよりもはるかに大量の脆弱性が見つかっているためだ。また、Adobe、Java、QuickTimeといったサードパーティーの製品で、脆弱性を解消するためのしくみに不備があることも、要因として挙げられている。
レポートでは、2つのセキュリティリスクが重要視されている。1つは、脆弱性を修正しないままコンピューター内に放置されているアプリケーションの問題。攻撃者は、Adobe Reader、Flash Player、QuickTime、Microsoft Officeといったおなじみのアプリケーションの脆弱性を狙い、メールを送りつける、サイトを改ざんするなどの手口で攻撃を行っている。
インターネットのユーザーは、信頼しているサイトに置いてあるファイルなら、ダウンロードしても大丈夫だと考えている。そのため、簡単に悪質なドキュメントファイルや音楽ファイル、動画ファイルを開いてしまう。また、サイトにアクセスするだけで攻撃が成立してしまうこともある。ファイルを開かせる必要すらないのだ。攻撃者の目的はほとんどの場合、データを盗み出すことと、感染しているコンピューターにまた戻ってこられるようにバックドアを仕掛けることだという。
重要視されているリスクのもう1つは、脆弱な状態のまま運用されているWebサイトの問題だ。ネット上で確認されている攻撃の60%は、Webアプリケーションの脆弱性を狙ったものだという。Webアプリケーションの脆弱性を悪用し、信頼されているサイトをユーザーのパソコン内の脆弱性を狙う悪質なサイトに変えようとする攻撃が、広く行われているのだ。
Webアプリケーションの脆弱性の80%を占めるのが、SQLインジェクションとクロスサイトスクリプティング(XSS)の脆弱性だ。大量の攻撃が行われ、脆弱性に関する広報活動が広く行われているにもかかわらず、Webサイトのオーナーのほとんどはありふれた欠陥さえ見つけられず、知らないうちにサイトを犯罪者の道具にされてしまっている。
レポートでは、攻撃の実例についても解説されている。
(2009/09/24 ネットセキュリティニュース)
■The Top Cyber Security Risks[英文](SANS)
http://www.sans.org/top-cyber-security-risks/
■ SANS releases new Cyber Security Risk Report[英文](SANS Internet Storm Center)
http://isc.sans.org/diary.html?storyid=7129