ラックのコンピュータセキュリティ研究所が本日公開したレポート(PDF)によると、同社のセキュリティ情報データベース「SNSDB」の統計を分析した結果、昨年発見されたOffice製品の脆弱性の数は24件にのぼった。一昨年に発見された数は6件であり、発見数が4倍になったと報告している。

同レポートでは、未知のソフトウェア脆弱性を突いた攻撃であるゼロデイにも言及している。例えば、昨年、Internet Explorerの脆弱性がゼロデイとして見つかった件数は6件であり、一昨年と同数であることが判明している。一方、Office製品のゼロデイは一昨年が0件だったのに対し、昨年は8件にのぼるという。

これらOffice製品のゼロデイに関しては、メールの添付ファイルなどの「悪意あるデータ」として送付されることがあることから、従来からいわれている一般的なセキュリティ対策に加えて、先般発売されたWindows VistaのALSR(Address Space Layout Randomization)も有用であるとしている。ALSRはPCの起動毎に主要なシステムDLLのロードされるアドレスを変更することで、バッファオーバーフロー脆弱性などのメモリを上書きすることで攻撃を成功させる手法の成功確率を著しく低くさせる効果がある。

Address Space Layout Randomization in Windows Vista (Michael Howard's Web Log)

ところで、3年前に発見されたMicrosoftの脆弱性の傾向としては画像ライブラリの問題があげられるだろう(※1)。一昨年は全体数としては減少しているが、すでに2004年の段階で「悪意あるデータによって脆弱性を悪用され、ウイルスに感染する」ことは実証されていた。加えて、昨年は日本語圏のみでの利用が顕著である一太郎の脆弱性も発見されており(※2)、「悪意あるデータ」がより一層、情報セキュリティにとっての脅威となっていることを示す一事例となっている。

※1
Internet Explorerの脆弱性解消に緊急のパッチがリリース
JPEG画像を見たらハッキングされる - WindowsやOfficeなどに脆弱性
Windowsに緊急7件、重要3件の脆弱性 - 早急のパッチ適用が必要

※2
一太郎の脆弱性、ジャストがほぼ全ての製品に対応するモジュールの提供開始