Cisco の「衝撃的」な年次セキュリティ報告

ネットワーク大手の Cisco Systems は15日、同社の年次セキュリティ レポートを発表した。今年の主な傾向としては、脆弱性の数が増加し、複数の方法を組み合わせた攻撃、仮想化技術への攻撃がますます一般化しているという。

レポートによると、2008年10月末までに見つかった脆弱性は5971件以上にのぼり、2007年の5353件に比べて1年で11.5％増加した。また、正当なドメインからの攻撃件数は前年比で90％増加している。

Cisco のフェローで首席セキュリティ研究員の Patrick Peterson 氏は取材に対し、「Web の脅威の深刻さ、特に正当な Web サイトへの攻撃については当社でも認識しているが、2008年はその激しさと数の多さは非常に衝撃的だ。当社が描いた最悪のシナリオを軽く上回っている」と語った。

Cisco のレポートによると、2008年の Web ベースの全脅威のうち87％が、Web サイトの悪用に関連したものだったという。全体では、バッファ オーバーフロー、サービス不能化 (DoS)、およびクロスサイト スクリプティング (XSS) 攻撃などが脆弱性の上位を占めた。

報告されている脆弱性の件数は、攻撃の件数とは一致しないと Peterson 氏は話す。2008年の Web サイトへの攻撃は、主に SQL インジェクションによるものだった。大手週刊誌サイト BusinessWeek.com も、2008年に SQL インジェクション攻撃を受けた。

Peterson 氏はさらに、Web ブラウザのアドオンについても触れ、2008年はこのアドオンが容易な悪用の対象になったと指摘した。ハッカーがアドオンの脆弱性を利用する場合、悪質な Flash オブジェクトを仕込んだ Web ページにブラウザで訪問させるだけでこと足りる。Peterson 氏によると、アドオンの脆弱性の問題は、ユーザーがソフトウェアの最新版を利用していないために発生することが多いという。