［米国］
SANS Institute、脆弱性リポートでクライアント・セキュリティに警鐘

VoIPが抱えるリスクも同リポートで報告

（2007年11月29日）

　米国SANS Instituteは11月27日、2007年に最も大きな脅威となったセキュリティ上の脆弱性リストを発表し、特にクライアント側の脆弱性が深刻な状況であるとの見解を明らかにした。

　同リストの作成に協力した米国Qualysの脆弱性研究所責任者、アモール・サーワテ（Amol Sarwate）氏は、「かつて攻撃者は、サーバのハッキングを試みるのが普通だったが、2001年以降はサーバ側でのセキュリティ対策が進んだことから、標的はクライアント側に移行した」と述べている。ロードバランサやWebアプリケーション・ファイアウォールの普及により、サーバ側の防御策は以前より効果が高くなったという。

　現在の攻撃者がねらうのは、Webブラウザ、メディア・プレーヤー、一般的なオフィス・アプリケーション、メール・クライアントといったクライアント・アプリケーションに潜む脆弱性であるという。こうした攻撃には、アプリケーションに最新のパッチを適用し、ウイルス対策ソフトを最新の状態に保って、不正なアプリケーションを排除するのが有効な対処法になるとSarwate氏は説明する。

　使用するソフトウェアの数を最小限にとどめておくことも、被害を抑えるのに役立つという。また、安全なWeb利用方法について、ユーザーに定期的な教育を受けさせる必要もある。Sarwate氏は、疑似フィッシング攻撃を仕掛ければ、そうした攻撃にきわめて弱く、トレーニングが必要なユーザーを見つけることができると話している。

　ただし、サーバ側のセキュリティ対策が進んだ現在でも、クロスサイト・スクリプティングやSQLインジェクションによる被害は、相変わらず多いと同リストには記されている。こうした攻撃のターゲットとなる脆弱性は、安全なコーディングを理解していないプログラマーが作り出している。Sarwate氏は、「すべてのプログラマーがセキュリティを熟知しているわけではない」と述べ、安全なコーディングを優先課題としていない企業は特にリスクが大きいと警告した。「企業は、アプリケーション開発者にセキュリティ教育を施すべきだ」（同氏）

　一方で、ユーザー自身がWebアプリケーションの悪用テクニックを知っておくことにも、大いに意味があるという。例えば、ユーザーが安全なWebサイトにアクセスし、そのセッションが継続している間に他のブラウザ・ウィンドウで危険なサイトを閲覧すると、攻撃を受ける可能性が高まる。安全なWebサイトからログアウトした後にブラウジングを続けるのであれば、こうした危険は緩和される。

　また、Webアプリケーション自体にも、警告システムを組み込む必要があるという。銀行などのサイトでは、ログインする際にWebサイト上に表示される画像をユーザーにあらかじめ選択させておくというシステムを用意するとよい。画像が表示されなければ、正規のサイトではないということになる。

　SANSのリストには、VoIP（Voice over IP）アプリケーションに対する脅威も含まれている。同リストによれば、「VoIPのコスト・メリットばかりに目を向けて性急に導入を進めた一方で、セキュリティ対策を軽視する」傾向が見られるとのことだ。その結果、今日のVoIPシステムは、VoIPフィッシングや盗聴、通話料金詐欺、DoS攻撃などに対して脆弱な状態に陥っている。

　VoIPネットワークは、通常の電話で昔から用いられているPSTN（Public Switched Telephone Network）信号方式と連動しているのため、VoIPに対する攻撃はPSTNにも影響を及ぼす可能性があると、同リストでは指摘している。

(Tim Greene／Network World オンライン米国版)