Weekly Topics：脆弱性減少でも安心できないセキュリティの現状

発表されたコンピュータの脆弱性数が、前年比で減少を示したものの、ウェブセキュリティが改善したわけではない。APが11日に、セキュリティ企業による警告を伝えている。

これは、IBMの関連会社、IBM Internet Security Systems（IBM ISS）が発表した年次"X-Force"報告書で、2007年に見つかったセキュリティ上の欠点は6437件で、この数字は前年と比べて5.4％の減少となったと説明している。ウェブサイトによると、民間最大のセキュリティ情報組織であるIBM ISSは、主要なソフトウェアやハードウェアのベンダ、政府機関などと密接に連携して、脆弱性や攻撃手法などを研究している。

IBM ISSのクリス・ローランド主席テクノロジーオフィサーは、この数字は少なくともこの10年間で最低の数字だという。ただし、2006年より減少したと言っても、見つかった脆弱性の数は、2005年の4824件を大きく上回っているとして警告する。この現象は、2006年に41％と急増したために起きたもので、2006年より減ったものの、決してその数が少なかったというわけではなさそうだ。

2007年に見つかった脆弱性が2006年より減った理由の1つは、ベンダ側での状況改善があるだろう。近年、"コンピュータおたく"が見つけた、ソフトウェア上でのセキュリティ脅威を、10万ドルなどの高額で買い取るブラックマーケットが出現している。その結果、ベンダも神経を尖らせている。買うのは犯罪グループ組織であるため、悪用されてユーザなどが大きな金銭上の被害を受ける可能性がある。

ブラックマーケットでベンダが脆弱性情報を買い、犯罪者が入手する前に対策を講じているのではないかと考えるセキュリティ研究者もいるようだ。これにより、ブラックマーケットは活発になるばかりで、"コンピュータおたく"も脆弱性探しにさらに力を入れることになる。

また、ローランド主席テクノロジーオフィサーが懸念するのは、脆弱性を発表していないかもしれないという点だ。発表されていないセキュリティホールが幾つあるのか数字を出すのは不可能だという。

さらにAPは、ソフォスのセキュリティ研究員から、脆弱性が発表されなくても、企業や組織にとって大きな違いはないとのコメントを得ている。これは、広く知られるような脆弱性でさえ、企業のテクノロジースタッフがパッチを行うのに、数ヶ月からひどいときには数年、かかることもあるためのようだ。

最近にもMLSgear.com（北米のサッカーリーグ、メジャーリーグサッカーのウェブサイト）が、SQLインジェクション攻撃を受け、サイトの利用者が個人情報を盗まれるという事件があった。詳しい攻撃方法はわからないものの、SQLインジェクションはアプリケーションの不備を利用したものだから、犯人側がパッチされていないような何らかの脆弱性を悪用されたと考えられる。

一方、アプリケーションセキュリティのトビー・ワイスCEOの「重大なセキュリティホールは28％増加している2007年と比べると…

【執筆：バンクーバー新報　西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw