クライアントサイドの脆弱性をテストするファイアウォールが万全でもダメ

攻撃者の標的がクライアントサイドに移りつつある。クライアントサイド攻撃に対する自社の脆弱性をテストするための方法を紹介しよう。

2008年04月28日 07時30分 公開
[Lenny Zeltser,TechTarget]

 信じられないかもしれないが、企業はネットワークの境界部を防御するのが上手になってきた。成熟したセキュリティプログラムを持っている金融機関などの企業は大抵、特定のポートへのトラフィックだけがファイアウォールを通過できるようにするとともに、インターネット上でアクセス可能なサーバを強化して脆弱部分が極力少なくなるようにしている。その結果、労せずして手に入れられる成果を求める攻撃者たちは、社内のワークステーション上に存在するクライアントサイドの脆弱性に目を向けるようになった。このため、セキュリティ評価を実施する際には、クライアントサイドの脆弱性にも注目する必要がある。

 クライアントサイドの脆弱性の主なものは、デスクトップやノートPC上に存在するパッチ未適用のソフトウェアだ。脆弱なアプリケーションの性質に応じて、攻撃者は特殊な仕掛けを施した電子メール添付ファイルを利用したり、ユーザーを悪質なWebサイトにおびき寄せたりすることによって脆弱性を悪用しようとするかもしれない。Webブラウザがターゲットになる場合も多い。そのほかにも狙われやすいターゲットとしては、Adobe Acrobat、Flash Player、QuickTime、Java Runtime Environment(JRE)などがある。

現実の攻撃をシミュレートする

 クライアントサイドの侵入テストを通じてこういった脅威に対する自社の脆弱性を評価する際には、以下に示す2つの一般的なシナリオをシミュレートする必要がある。

関連ホワイトペーパー

脆弱性 | マルウェア | パッチ


ITmedia マーケティング新着記事

news131.jpg

メッシやベリンガム、ヴィルツも登場 アディダスが世界で展開する豪華過ぎるサッカー推しキャンペーンの中身
Adidasが夏のサッカーシーズンに向けて新キャンペーンを世界各地で展開する。デビッド・...

news058.jpg

Web広告施策に課題を感じている企業は9割以上――リンクアンドパートナーズ調査
企業のWeb広告施策を推進している担当者約500人を対象に、課題と今後の取り組みについて...

news183.jpg

TikTokマーケティングの最適解へ スパイスボックスが縦型動画クリエイター集団M2DKと業務提携
スパイスボックスが縦型動画クリエイター集団であるM2DKと業務提携。生活者に向けて訴求...