IPAが公表した情報セキュリティの「10大脅威」について(その1)

Tweet

独立行政法人 情報処理推進機構(IPA)がまとめた情報セキュリティ白書2008の第2部として、2007年の「10大脅威」が同サイト上で公開されている。

・プレスリリース(IPAのサイト)

これは、IPAに届けられたコンピュータウイルス・不正アクセス・脆弱性に関する情報などを基に、2007年に「印象が強かったもの」「社会的影響が大きいもの」といった観点から10大脅威を選択、分析と今後の対策をまとめたものだ。

これによると、10大脅威は以下の順位であった。当ブログでもユーザーのセキュリティ対策として、PCのOSやセキュリティソフトのセキュリティ状態を常に最新の状態に保つといった基本的な対策の重要性を訴えているが、改めて10大脅威の内容について見てみることにしたい。

＜10大脅威＞
第１位　高まる「誘導型」攻撃の脅威
第２位　ウェブサイトを狙った攻撃の広まり
第３位　恒常化する情報漏えい
第４位　巧妙化する標的型攻撃
第５位　信用できなくなった正規サイト
第６位　検知されにくいボット、潜在化するコンピュータウイルス
第７位　検索エンジンからマルウエア配信サイトに誘導
第８位　国内製品の脆弱性が頻発
第９位　減らないスパムメール
第10位　組み込み製品の脆弱性の増加

2007年の10大脅威と当ブログ関連記事(１位?５位)

【１位】　高まる「誘導型」攻撃の脅威
誘導型攻撃とは、攻撃を受けるユーザー側の行動が必要なタイプに分類される。反対に攻撃者が直接サーバーなどを攻撃するタイプを「能動的攻撃」という。

誘導型はOfficeソフトなどソフトウエアの脆弱性を悪用したもので、代表的なものはメールに添付されたWordなどの文書ファイルにトロイの木馬が仕掛けられているといった事例である。

対策の基本は、セキュリティパッチを適用するなどソフトウエアのセキュリティ状態を常に最新に保つことである。

＜当ブログ内の参考記事＞
・オリンピック関連情報に見せかけたトロイの木馬に注意

【２位】　ウェブサイトを狙った攻撃の広まり
Webサイト(Webアプリケーション)の脆弱性を悪用した攻撃である。IPAによると、Webサイトの脆弱性のうち70％がクロスサイトスクリプティングとSQLインジェクションで占められているという。

特にSQLインジェクションについては2008年に入ってからも猛威をふるっており、サイト管理者、Webアプリケーション開発者は脆弱性対策が欠かせない。

＜当ブログ内の参考記事＞
・Webサイトに不正コードが仕掛けられる攻撃が広範に広がる

【３位】　恒常化する情報漏えい
企業が保有する顧客情報などの機密情報が漏えいする事件が後を絶たない。日本ネットワークセキュリティ協会(JNSA)は、「2007年度 情報セキュリティインシデントに関する調査報告書」(速報版)によると、情報漏えいの原因は、「紛失・置き忘れ」「(情報の)管理ミス」「誤操作」「盗難」など、人的ミスによるものが実に75％を超えている。情報漏えいを防ぐためには、何気ない日常の行為を見直すことが大事だ。

＜当ブログ内の参考記事＞
・2007年の個人情報漏えい事件、被害者は約3000万人、想定損害額は2兆円超との調査結果

【４位】　巧妙化する標的型攻撃
標的型攻撃はマルウエアを使った攻撃の一つで、特定の企業や組織のイントラネット内にあるPCに標的を絞り攻撃を仕掛けるというもの。その性質上、注意していても防げない場合がある。

残念ながら、現時点で完全な対策はないが、ネットワーク管理者として有効な対策があり、不必要な外向きのTCP(Transmission Control Protocol)ポートを全てふさぐ等の対策が有効であるということである。

＜当ブログ内の参考記事＞
・特定の企業や組織を攻撃する「標的型攻撃」の実態を報告

【５位】　信用できなくなった正規サイト
Webサイトの改ざんは以前より行われていた不正行為であったが、専用の自動化ツールやワームなどの登場によって、多くのWebサイトが改ざんの被害に遭っており、この傾向は顕著である。

そして、改ざんされたWebサイトは攻撃者によって悪用され、さらに１位の「誘導型攻撃」に繋がっていく。

サイト管理者、Webアプリケーション開発者は脆弱性対策が欠かせない。ユーザーはセキュリティパッチを適用するなどソフトウエアのセキュリティ状態を常に最新に保つ対策が重要である。

＜当ブログ内の参考記事＞
・マルウエアの感染経路がメール添付からWebサイト誘導にシフトとの報告

→その2に続く