米SANS Instituteは11月27日(現地時間)、2007年の最新セキュリティ動向と対策をまとめた「SANS Top-20 2007 Security Risks」を発表した。それによれば、全体の傾向としてOSそのものの脆弱性を利用したウイルス/ワーム等の攻撃が減っている一方で、その上で動作するアプリケーション、例えばアンチウイルスソフトやWebブラウザ、メディアプレイヤーなどの脆弱性を利用した攻撃が増えているという。従来のサーバをターゲットとした攻撃と比較すると、ユーザーのWebブラウジングのようなクライアント側の能動的な行動がセキュリティリスク増大につながっている様子が見て取れる。また、他の調査報告でも警告されているように、攻撃者は企業の重要なデータを盗むために、あらゆる手段を駆使し始めていることも述べられている。
SANS Top 2007は、同組織が2000年より毎年発行しているITセキュリティリスクをまとめた年次報告書の最新版にあたる。今年の傾向として、Microsoft Windowsをターゲットに2002~2005年に猛威をふるったワーム攻撃がなりを潜め、すでに大規模な被害をもたらすリスクの報告事例がなくなっている。一方でアプリケーションへの攻撃が増えつつあり、事例としてSymantecのアンチウイルスソフトウェアにみられたバッファオーバーフローを利用した攻撃が紹介されている。同様の問題は他のアプリケーションにもみられ、アップデートの行われていないメディアプレイヤーを介して攻撃が行われるといったケースもある。
これを支えるのはユーザーの能動的な行動だ。従来であれば、企業セキュリティではサーバやサービス、インターネットとの境界の保護で済んでいたものが、ユーザーがWebブラウザなどのアプリケーションを介してネットワークへと積極的にアクセスしていくことで、セキュリティ上のリスクが高まる。そのためSANS Top 2007では、クライアント側のセキュリティ強化の必要性を訴えている。またオープンソースやカスタムベースのソフトウェアでの脆弱性も多数報告されており、これがセキュリティ上のリスクとなっている点も指摘する。
また攻撃者の傾向として、従来の愉快犯的性格から、さまざまなテクニックを駆使して企業内から重要な情報を抜き出したり、フィッシングで個人情報の取得を狙ったりなど、より営利目的なケースが増えつつある。特に特定個人や特定企業/政府組織など狙ったフィッシングは「Spear Phishing」と呼ばれる。インターネット上の不特定多数にフィッシングメールを送りつけるのではなく、特定組織のある個人が社内の人間に一斉同報したかのように装ったメールを用意し、ID/パスワードの入力を促したり、悪意を持ったWebサイトへと誘導したりする。ほかにも「Voice Phishing」という事例も報告されている。指定の電話番号をダイヤルすると、自動音声ガイドに沿って個人情報での応答が求められる。
