マイクロソフトの奥天氏は、自身がセキュリティにかかわってからの6年間を振り返り、一般に公開されている脆弱性の数が、OS自体よりもアプリケーションの方が多くなっていることに加え、Exploitが徐々に複雑になってきていると話す。
脆弱性を狙った攻撃では、0-day攻撃が増えている。「脆弱性を見つけたら、誰にも言わずに攻撃をするのが一番成功する」(奥天氏)方法であり、さらに企業内部で共通して使われているソフトを調べ、その脆弱性を攻撃する標的型攻撃も増加しているそうだ。
昨今は発見されにくい攻撃がはびこっており、いったん攻撃が成功して特定の権限のある企業ユーザーのPCに入り込めれば、あとは情報を盗めばいいわけで、実際の攻撃もダウンローダーやトロイの木馬を使ったものが多いという。
こうした脆弱性を狙った攻撃に対して奥天氏は、「事故前提」で考えることを推奨する。その上で、ソフトの開発においてはそもそも脆弱性を作り込まないようにする。特定の企業だけが使うカスタムアプリケーションであっても、「社員数5,000人の企業で使っているアプリケーションであれば十分(攻撃の)対象になる」(奥天氏)からだ。
また、脆弱性を悪用されても、攻撃が成功されないような技術、「攻撃がクリティカルヒットにならない技術は何かないのか、それが課題」(同)だという。さらに、マルウェアの実行を制限する、検出精度を向上させる、などといった対策の必要性も挙げる。
奥天氏は、最新のWindows Vistaの堅牢性を紹介するが、それに対して新井氏は「古いOSの脆弱性を狙って感染拡大するものが依然として多い」と指摘。とはいえ、Vistaでパーソナルファイアウォール機能がデフォルトで有効になっているなどの取り組みに関してマイクロソフトへの期待感を示す。
同様に小山氏もVistaのセキュリティ強化は「非常に喜ばしい」としつつ、Windows XP SP2でセキュリティが強化されても、次第にそのセキュリティをかいくぐっての攻撃が増えていると話す。
伊藤氏によれば、2004年時点で、世界中で報告されていた脆弱性は3,000件だったが、2006年にはそれが8,000件を突破。製品出荷後に発見される脆弱性が「あまりに多すぎる」(同)。その上で、セキュリティを意識して作られた、脆弱性を作り込まないような取り組みをしている製品が市場で評価されるようなユーザーの意識などの土壌を作っていかなければならない、と話す。開発側でも、仕様書にセキュリティ要件を盛り込むように、作り手側がセキュリティを意識して開発する必要性を訴える。