2008年04月28日 07時30分 UPDATE
特集/連載

ファイアウォールが万全でもダメクライアントサイドの脆弱性をテストする

攻撃者の標的がクライアントサイドに移りつつある。クライアントサイド攻撃に対する自社の脆弱性をテストするための方法を紹介しよう。

[Lenny Zeltser,TechTarget]

 信じられないかもしれないが、企業はネットワークの境界部を防御するのが上手になってきた。成熟したセキュリティプログラムを持っている金融機関などの企業は大抵、特定のポートへのトラフィックだけがファイアウォールを通過できるようにするとともに、インターネット上でアクセス可能なサーバを強化して脆弱部分が極力少なくなるようにしている。その結果、労せずして手に入れられる成果を求める攻撃者たちは、社内のワークステーション上に存在するクライアントサイドの脆弱性に目を向けるようになった。このため、セキュリティ評価を実施する際には、クライアントサイドの脆弱性にも注目する必要がある。

 クライアントサイドの脆弱性の主なものは、デスクトップやノートPC上に存在するパッチ未適用のソフトウェアだ。脆弱なアプリケーションの性質に応じて、攻撃者は特殊な仕掛けを施した電子メール添付ファイルを利用したり、ユーザーを悪質なWebサイトにおびき寄せたりすることによって脆弱性を悪用しようとするかもしれない。Webブラウザがターゲットになる場合も多い。そのほかにも狙われやすいターゲットとしては、Adobe Acrobat、Flash Player、QuickTime、Java Runtime Environment(JRE)などがある。

現実の攻撃をシミュレートする

 クライアントサイドの侵入テストを通じてこういった脅威に対する自社の脆弱性を評価する際には、以下に示す2つの一般的なシナリオをシミュレートする必要がある。

関連ホワイトペーパー

脆弱性 | マルウェア | パッチ


この記事を読んだ人にお薦めの関連記事

注目テーマ

ITmedia マーケティング新着記事

news128.jpg

トライバルメディアハウスがPinterestと協働プロジェクトを開始
トライバルメディアハウスは、ピンタレスト・ジャパンと協働でプロジェクトを進めること...

news109.jpg

「リードが足りない」の解消へ、toBeマーケティングとWEICが「MAPlus NIKITA」を提供
toBeマーケティングとWEICは、戦略的業務提携を行い、MA運用におけるリード数不足を解決...

news143.jpg

読売新聞社がコンテンツマーケティング事業に参入、「YOMIURI BRAND STUDIO」を設立
読売新聞社は企業のコンテンツマーケティングを支援するため「YOMIURI BRAND STUDIO」を...