IBM ISSのX-Forceが発表したセキュリティ動向レポート。
IBMのX-Forceレポート、パッチが提供されていない多くの脆弱性の存在を指摘:ニュース - CNET Japan
IBMのセキュリティ情報研究部門であるInternet Security Services(ISS)のX-Forceが米国時間2月2日に発表した「X-Force 2008 Trend & Risk Report」によると、2008年に明らかになったセキュリティ脆弱性の半数以上について、2008年末までにベンダーからのパッチが提供されなかったという。
ベンダー別とOS別の脆弱性数のリストがあるけど、OS別だとMacOSが1、2番なのが意外。
攻撃動向が2つあるとして、
1つはSQLインジェクション攻撃で、これはウェブサイトに情報をフィードするデータベースに悪意ある小さなスクリプトを挿入するものだ。もう1つは、悪意あるURLのホスティングだった。
IBMの報道発表を見ると、SQLインジェクションはカスタムのアプリケーションだとパッチで対処できないのが問題とし、
昨年見つかった脆弱性のうち半数以上がWebアプリケーションに関連したもので、そのうち74%以上がパッチがなかった。 このため、大規模で自動化されたSQLインジェクション脆弱性が2008年はじめに出現していたが一向に衰えていない。 2008年末には、夏に比べて攻撃数が30倍に急増していた。
Last year more than half of all vulnerabilities disclosed were related to Web applications, and of these, more than 74 percent had no patch. Thus, the large scale, automated SQL injection vulnerabilities that emerged in early 2008 have continued unabated. By the end of 2008, the volume of attacks jumped to 30 times the number of attacks initially seen this summer.
Webアプリ脆弱性の74%がパッチ未提供、IBM X-Forceレポート
「Webサイトは企業のITセキュリティにとってのアキレス腱となってしまった」として、攻撃者はエンドユーザーのPCに侵入できるよう、Webアプリケーションの攻撃に大きな重点を置いていると指摘。2008年に公開された脆弱性のうち半数以上はWebアプリケーション関連のもので、このうち74%には修正パッチが存在していなかったという。また、SQLインジェクション攻撃も急増しており、2008年末には2008年夏と比較して攻撃数が30倍に増加したとしている。2008年には、2007年と比較して脆弱性の数が13.5%増加しており、これまでの記録上「最も悪い」年になったと説明。2008年末の時点で、2008年に公開されたすべての脆弱性のうち53%ではベンダー提供の修正パッチが存在しておらず、2007年に公開された脆弱性のうち44%、 2006年に公開された脆弱性のうち46%にも修正パッチが存在しないという。
Leave a comment