簡単攻撃ツール「Blackhole」普及で脆弱性悪用が急増――米Microsoft報告書より2012年上半期のセキュリティ動向

アプリケーション脆弱性の公表件数が増加。Javaの脆弱性に攻撃者が注目――。米Microsoftの報告書を基に、2012年上半期のセキュリティ動向を総ざらいする。

2012年11月15日 08時00分 公開
[Moriah Sargent,TechTarget]

 米Microsoftがまとめた最新の報告書によると、過去数年の間、減少を続けていたアプリケーションの脆弱性が、2012年は上昇に転じた。さらに、コーディングエラーを狙った多数の攻撃の背後には、自動化された攻撃ツールキットが存在するという。

 Microsoftの「セキュリティインテリジェンスリポート第13版」は、2012年1月~6月までの上半期の動向を分析。脆弱性やエクスプロイトスパムなど、セキュリティ関連の幅広いトピックを網羅する。Microsoftによると、この報告書は、同社のウイルス対策ソフトウェアと更新の仕組みを導入している6億台以上のコンピュータから収集したデータに基づくという。アプリケーションの脆弱性に関する分析は、米国立標準技術研究所(NIST)が運営する脆弱性データベース「National Vulnerability Database」で公開されているデータを利用した。

 アプリケーションの脆弱性の件数は、2011年下半期は1200件に満たなかったが、2012年上半期は約1400件に急増した。この期間に公表された全ての脆弱性のうち、アプリケーションの脆弱性は70%以上を占め、Webブラウザの脆弱性とOSの脆弱性は200~400件となっている。

 2012年上半期に公表された脆弱性の件数は、2011年下半期に比べて11.3%増えた。2011年上半期に比べるとほぼ5%増となる。Microsoftによれば、増加の原因は主に、アプリケーションの脆弱性の公表数が増えたことによる。

 脆弱性管理ベンダーである米Qualysのウォルフガング・カンデック最高技術責任者(CTO)は、「アプリケーションに脆弱性が存在するのは、ソフトウェア開発に問題があるためだ」と解説する。開発者はアプリケーションの機能には気を配るが、「セキュアな方法で開発することにはあまり注意を払わない」という。

 アプリケーションの脆弱性に加えて、ソフトウェアアップデートのリリースサイクルも早まっている。セキュリティ部門は、リリースサイクルの短縮に対応するのが難しくなっているとカンデック氏は言う。多くのIT部門では、パッチの適用によってカスタマイズアプリケーションに不具合がないことを確認するため、パッチを導入する前に十分なテストを実施している。

 HTMLとJavaScriptの脆弱性を突いた攻撃は、2012年1~3月期と比べると減ったものの、依然として最も好まれる攻撃の手口であることに変わりはない。Microsoftによれば、この手口を使った攻撃は、約350万台のコンピュータで検出された。

 一方、Javaの脆弱性を突く攻撃は増加し、悪用件数の多さで2位を維持した。Javaの脆弱性を突く攻撃が増えたのは、Java Runtime Environment(JRE)に存在する「CVE-2012-0507」「CVE-2011-3544」の脆弱性情報が公表されたことによる。続く3位はドキュメントの脆弱性、4位はOSの脆弱性だった。

脆弱性悪用を加速させる「Blackhole」

 脆弱性悪用ツールキットの「Blackhole」は、最も一般的に利用され、HTMLやJavaScript、Javaの脆弱性を突いた攻撃を加速させる要因となっている。

会員登録(無料)が必要です

Copyright © ITmedia, Inc. All Rights Reserved.

新着ホワイトペーパー

製品資料 クラウドストライク合同会社

悪用されやすい「クラウドでの設定ミス」とは? リスクを最小限に抑える方法

クラウド利用の加速に伴い、従来のセキュリティでは対処できないリスクが生じている。まずはクラウドの設定ミスをなくすことが重要だ。本資料では、悪用されやすい7つの設定ミスを取り上げ、そのリスクを最小限に抑える方法を解説する。

市場調査・トレンド クラウドストライク合同会社

脅威アクターの最新動向:前年比で55%増加した対話型侵入の手口とは?

高度化と巧妙化を続けるサイバー攻撃。2024年版の脅威ハンティングレポートによると、前年比で55%増加しているのが“対話型侵入”だという。急増する対話型侵入に対して、組織はどのような対策を進めればよいのか、本資料で解説する。

製品資料 クラウドストライク合同会社

脱アンチウイルスでエンドポイント保護を強化、セキュリティ製品比較ガイド

サイバー攻撃が高度化し、アンチウイルスでは被害を防ぎきれなくなっている昨今、代替のセキュリティ製品をどう選ぶべきか悩む企業は多い。そこで選定時に重視したい3つのポイントや、防御技術ごとの長所/短所を解説する。

製品資料 日本情報通信株式会社

なくならない“内部不正”にどう対策するか、データベースセキュリティの実践法

データベースセキュリティにおいて重要な内部不正対策。内部不正は発見が難しい上に影響範囲が大きいが、適切な対策が取れていない企業も多い。「取りあえずログだけは取得している」という状況を脱し、効果的な対策を行うには?

事例 クラウドストライク合同会社

医薬品卸売事業者に学ぶ、限られたリソースで高度なセキュリティを実現する方法

医薬品や医療機器の卸売事業者であるフォレストホールディングスでは、リソース不足などにより、セキュリティ強化の取り組みが課題となっていた。そこで同社では、医療業界で高い導入実績を持つMDRサービスの導入を決定した。

From Informa TechTarget

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。

ITmedia マーケティング新着記事

news017.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...