どんな環境も脆弱性から逃れることはできない

情報セキュリティ研究機関 SANS Institute は25日、インターネットにおける脆弱性上位20件をまとめた『SANS Top 20 Valnerabilities』を更新した。今回の更新は、2005年第2四半期分の更新だ。同機関によると、脅威はクライアント側からサーバー側まで、利用数の多いアプリケーション全般に及んでおり、一時安全と考えられていた製品でさえ、例外ではなかったという。

SANS の報告では、2005年第2四半期に422件の脆弱性が新たに見つかったとしている。これは、第1四半期に比べて10.8％多い件数で、前年同期比では20％増となった。

SANS は422件の脆弱性のうち、企業および個人に対して広範囲にわたる被害を与えた14件を最も重大な脆弱性として挙げている。14件の脆弱性が該当する製品ベンダーは、Microsoft をはじめ、Oracle、Mozilla Foundation、Apple Computer、RealNetworks、Computer Associates International、VERITAS Software の計7社だ。

SANS Top 20 の編集者 Rohit Dhamankar 氏は電話会見で、Computer Associates と VERITAS のバックアップ製品に関するセキュリティ問題が特に気にかかると指摘した。

バックアップソフトウェアが攻撃対象となったことは、より広範囲に捉えれば、企業にとって要の管理ソフトウェアに対する攻撃が広がりつつあることの兆候といえる。

Dhamankar 氏はこの点について、「管理ソフトウェアだけでなく、ライセンス処理ソフトウェアも含めて、今後は同種の製品の脆弱性が攻撃の対象となる事例が増加するだろう」と述べた。

また SANS は、『Microsoft Internet Explorer』『Mozilla Firefox』『Apple iTunes』および RealNetworks の『RealPlayer』など、クライアント側の脆弱性が増えつつある傾向も指摘した。

SANS Institute の研究ディレクタ Alan Paller 氏は、次のように述べている。「人々が安全性を求めて移行しつつあった2つのブラウザ製品、Firefox と Mozilla にも、第2四半期に複数の脆弱性が見つかった。さらに、多くの人が安全と思っている Apple も、2回に分けて複数の脆弱性を修正している」

「つまり、どこにも安全な場所は存在しない」と Paller 氏は付け加えた。