［世界］【SANS調査】
今年最も深刻なセキュリティ問題はゼロデイ攻撃

（2006年11月16日）

　米国の情報セキュリティ組織であるSANSインスティチュートは、11月15日に発表したリポートの中で、今年最も深刻なセキュリティ問題として、ゼロデイ攻撃、およびフィッシング詐欺などの社会工学的なトリックを挙げている。

　SANSは年1回、『インターネット・セキュリティの脆弱性トップ20（Top 20 Internet Security Vulnerabilities）』と題したリポートを発表している。今年のタイトルは『攻撃ターゲット・トップ20（Top 20 Attack Targets）』で、英国のセキュリティ機関である国家インフラストラクチャ・セキュリティ調整センターで発表された。今年のリポートによると、今年発生した最悪の問題の1つは、ゼロデイ脆弱性／攻撃がInternet Explorer（IE）以外の製品にも広がっている点だという。

　ゼロデイ脆弱性とは、パッチを入手できないソフトの既知の不具合を指す。SANSは同リポートの中で、「マイクロソフトのOffice製品だけで45件の深刻な脆弱点を発見した。しかも、そのうちの9件は、不具合につけ込むツールやワームが実際に存在しているにもかかわらず、パッチが入手できない状態になっているゼロデイ脆弱性」だと指摘する。

　同リポートの編集者で、スリーコムの事業部門チッピングポイントでセキュリティ調査担当上級マネジャーを務めるローヒット・ダーマンカー氏は、こうしたゼロデイ脆弱性の現状を説明したうえで、危険なのはマイクロソフト製品だけではないと語る。

　「今年発生したゼロデイ攻撃のうち、少なくとも20件は、アップルのWebブラウザ『Safari』と無線ドライバに対するものだった。とはいえ、ゼロデイ攻撃の大半は、依然としてマイクロソフト製品、とりわけIEに集中している」

　同リポートはさらに、マイクロソフト製品をターゲットにしたゼロデイ攻撃の大半が中国から行われたと指摘。中国がゼロデイ攻撃の温床になっている理由についてはさまざまな説があるとしたうえで、（1）マイクロソフト製品のソース・コードの大半が知的財産権による配布制限を受けることなく入手できるという事実、（2）独自コードのリバース・エンジニアリングとコードの脆弱性利用に関する研究を助長するような文化、（3）他国のターゲットを攻撃している集団に対する法執行機関の捜査があまり行われていないという事実、の3つを有力な要因として挙げている。

　また、ゼロデイ攻撃以外の傾向として、「スピア・フィッシング」といった攻撃が増加していると同リポートでは述べている。この点について、ダーマンカー氏は、「われわれは、今年初めて人的な要因を取り上げた。CIOやマネジャーなどから送られたように装った電子メールを使い、秘書を出し抜いて『スピア・フィッシング』することに成功した事例が多かったようだ。この攻撃は、機密情報を得るために行われる」と語る。

　このほかSANSは、各種のVoIP攻撃も今年の顕著な脅威だと指摘した。こうした攻撃の中には、「詐欺的なメッセージを入れ込んだり、従来の電話ネットワークに大規模な影響を及ぼしたりするようなタイプ」のものも含まれている。

　ダーマンカー氏によると、VoIPサーバは従来のネットワークとのインタフェースになっているため、脆弱性を抱えていると思われるVoIPサーバから回路交換ネットワークに入り込むことはさほど難しくないという。

　「VoIPサーバを支配すれば、電話ネットワークの内部に良からぬメッセージを入れることができる。この攻撃による最も深刻なダメージは、従来の電話ネットワークがダウンすることだ」（ダーマンカー氏）

(エレン・メスマー／Network World オンライン米国版)