シマンテックが警告、「パッチの適用、猶予は1週間以内」

2005/3/30

 シマンテックは3月29日、2004年下半期のインターネットセキュリティ脅威レポートを発表し、「深刻度が高く、悪用が容易なうえ、リモートで攻撃可能な脆弱性が増大している」と警告した。

シマンテックのエグゼクティブシステムエンジニア 野々下幸治氏

 今回のレポートでは、2004年7月〜12月のインターネットにおけるセキュリティリスクの傾向を分析した。シマンテックのエグゼクティブシステムエンジニア 野々下幸治氏によると、この期間にシマンテックが確認した新たな脆弱性は、上半期から13%増の1403件。傾向としては深刻度「高」の脆弱性が増え、全体の50%近くを占めている。深刻度「中」と合わせると全体の97%を超え、システムの一部または全体に被害をもたらす可能性が増大した。

 さらに、脆弱性の全体の80%はリモートでの攻撃が可能であり、70%は悪用が容易だった。つまりそれらの脆弱性は、悪用のためのコードが不要か、すでにそのコードが公表されていたという。このため、攻撃者の数がさらに増加する恐れがあるとシマンテックは注意を促す。

 レポートによると、脆弱性の公表からそれを悪用するコードの出現までの期間は平均6.4日。前期の平均5.8日から1日弱延びているが、野々下氏は「(パッチが提供される前にその脆弱性が攻撃される)ゼロデイ攻撃は依然として出現している。パッチを適用する余裕は1週間もないと認識し、パッチ管理の重要性を意識してほしい」と強調した。

 今後の傾向としてシマンテックは、金銭目的のボット(ひそかにマシンにインストールされ、悪意のあるユーザーのリモート制御を可能にするプログラム)や、ボットネットワークの使用が広がることなどを予測している。新たなボットを獲得し、ボットネットワークを作る手法も多様化してきているという。

(@IT 長谷川玲奈)

[関連リンク]
シマンテックの発表資料

[関連記事]
スパム処理で1年のうち2日間が無駄に、シマンテックが調査 (@IT News)
来年もフィッシング詐欺被害は増える、シマンテック (@IT News)
いまそこにあるフィッシング詐欺、シマンテックが実態調査 (@IT News)
スパム、フィッシング詐欺に対応したノートン セキュリティ最新版 (@IT News)
シマンテックユーザーなら2〜3年後にはスパムと無縁? (@IT News)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)