狙われやすい脆弱性トップ20 - 攻撃のターゲットはOS以外に

米SANS Instituteは11月22日(現地時間)、「狙われやすい20件のインターネットセキュリティの脆弱性 (SANS Top-20)」の最新版を公開した。

このリストは企業のセキュリティ強化の目安となるように、SANSが政府機関や民間企業と共同で作成しているもので、今回がバージョン6となる。攻撃者に狙われやすいセキュリティホールと共に対処法が説明されている。

これまでセキュリティホールへの攻撃は、システムの奥深くに結びつく基本システム(OS)に集中していた。しかし、Microsoftがオンライン経由でパッチを提供し、素早くセキュリティホールをふさぐようになってからは、OS以外のプログラムが攻撃の対象になり始めている。そのため最新のSANS Top-20では、「Windowsシステム」と「UNIXシステム」だった従来のカテゴリーに、「クロスプラットフォーム・アプリケーション」と「ネットワーク製品」が追加された。

クロスプラットフォーム・アプリケーションで最初にリストされているのは「バックアップ・ソフト」である。重要なデータを扱ったり、ネットワークに幅広くアクセスしているケースが多いため狙われやすい。次が「ウイルス対策ソフト」。PCのメモリーなど重要なパーツにアクセスする上、バックグラウンドで動作するため攻撃に利用しやすい。またユーザー数が多いのも攻撃者にとっては魅力となっている。

SANSはレポートの中で、「これまでのトップ20リストと違って、今回のリストは"積み重ね"ではない」と警告している。ソフトウエアベンダーのセキュリティ対応が向上していることから、攻撃の手口が短時間で様変わりしており、今回のリストはこれまでとは異なるタイプの攻撃の指摘となっている。その一方で「Top-20 2004リストで挙げられた脆弱性に対応していないのならば、まずその問題をパッチすることを強く勧める」としている。

・Windowsシステム
W1: Windowsサービス
W2: Internet Explorer
W3: Windowsライブラリ
W4: Microsoft Office/Outlook Express
W5: Windowsの設定に関する問題

・クロスプラットフォーム・アプリケーション
C1: バックアップ・ソフト
C2: ウイルス対策ソフト
C3: PHPベースのアプリケーション
C4: データベース・ソフト
C5: ファイル共有アプリケーション
C6: DNSソフト
C7: メディアプレイヤー
C8: インスタント・メッセージング・ソフト
C9: MozillaおよびFirefoxブラウザ
C10: その他のクロスプラットフォーム・アプリケーション

・UNIXシステム
U1: UNIXの設定に関する問題
U2: Mac OS X

・ネットワーク製品
N1: Cisco IOSおよび非IOS製品
N2: Juniper、CheckPoint、Symantec製品
N3: Ciscoのデバイス設定に関する問題



転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

人気記事

一覧

イチオシ記事

新着記事

求人情報