マイクロソフト(MS)は、今年上半期の脅威をまとめたレポートを発表した。OS(基本ソフト)の脆弱性は減少傾向が続いているが、アプリケーションの脆弱性は増加している。また、ソフトウェアや音楽、映画などのファイルをダウンロードする際にパソコンを感染させる攻撃が活発に行われているとして注意を促している。
今年上半期の脅威をまとめた「MS セキュリティ インテリジェンス レポート第13版」は、先月9日(米国時間)に発表された。その概要と特集を、日本のセキュリティチーム(Japan Security Team)が紹介している。
■アプリの脆弱性増加、悪用例は「HTML/JavaScript」が最多
今年上半期に業界全体で公開された脆弱性数は2037件で、前期比11.3%の増加となった。これは主にアプリケーションの脆弱性の増加によるもので、OSの脆弱性は減少傾向が続いている。MS製品に関する脆弱性数は、全体の4.8%だった。
悪用例は、HTML/JavaScript が最も多く、感染したWebページを通じてマルウェアが拡散している。このマルウェアは、Windows 上で動作するAdobe Flash Player/Reader、MDAC(Microsoft Data Access Components)、JRE(Oracle Java Runtime Environment)などの脆弱性を悪用するもので、これらのアプリケーションを更新し最新状態に保つことが一番の対策となる。悪用が2番目に多いJavaは、数年前に解消された脆弱性を突かれている例も多く、古いバージョンの Java のアップデートも忘れずに行う必要がある。
■忘れがちなアプリケーションのアップデート
数千台の Windowsコンピューターのデータを基にした「セキュリティ更新プログラムの未適用率」を見ると、「Windows」は34%、「Word」は39%、「Adobe Reader」は60%、「Adobe Flash Player」は70%、「Oracle Java」では94%が最新の更新を適用していなかった。Windows 上のサードパーティ製のアプリケーションのアップデートは忘れがちであることがわかる。この脆弱性の放置が狙われる理由ともなっているため、常に最新の状態に保つよう注意が必要だ。
■ソフトウェアや音楽、映画の「ダウンロード詐欺」に注意
報告書は、さまざまなファイルをインターネットからダウンロードするときに仕掛けられる「ダウンロード詐欺」を特集で取り上げている。本物に見せかけたマルウェアを含むファイルをダウンロードさせ、感染させる活動が活発に行われている。人気のソフトウェアや音楽、映画などのファイル名をかたったマルウェアは多数確認されているので、ダウンロードする際には信頼できる提供元かどうかを確認し、安全でない可能性がある場合はダウンロードを控えるよう注意を促している。
(2012/11/22 ネットセキュリティニュース)
【関連URL:日本のセキュリティチーム】
・セキュリティ インテリジェンス レポート(SIR) 第13版概要
http://blogs.technet.com/b/jpsecurity/archive/2012/11/19/3533247.aspx
・セキュリティ インテリジェンス レポート(SIR) 第13版~特集「ダウンロード詐欺」
http://blogs.technet.com/b/jpsecurity/archive/2012/11/20/3533495.aspx