米IBMのISSチームは7月29日(現地時間)、セキュリティトレンドをまとめたレポートの最新版「X-Force 2008 Midyear Trend Statistics」を発表した。トレンドとして顕著だったのが"ゼロデイ"攻撃の増加で、Webブラウザ経由の攻撃では、脆弱性の公開からそれを利用した攻撃が24時間以内に登場したケースが全体の94%に達しているという。これは攻撃の生成から展開までを自動化するツールなど、攻撃者側の技術が洗練されてきていることを意味し、同レポートではセキュリティ研究者側の情報公開手段や手法の標準の確立を求めている。

IBM ISSチームのX-Force運用マネージャKris Lamb氏は「2008年前半の2大テーマは"加速(Acceleration)"と"激増(Proliferation)"だ」とコメントする。脆弱性の発見から、それが利用されるまでのスピードは目に見えるほど加速しており、またその件数も激増しているという。セキュリティ研究者が脆弱性を公開する際に統一されたプロセスが存在しない場合、ゼロデイ攻撃にかえって燃料を注ぐ結果につながるというのが同氏の意見だ。「これがX-Forceが脆弱性を利用したコードを公開しない理由であり、おそらくは研究者の間で公開手法について見直す時期に来ているのではないか」(Lamb氏)と述べる。通常、発見された脆弱性は対策とともに公開され、これが多くの研究者に一般的な手法として受け入れられている。だが最近では独立系の研究者によって脆弱性が公開されるケースも多く、情報公開の足並みがそろっていない。

そのほかの傾向としては、OSやWebブラウザだけでなく、Webブラウザのプラグインが新たな攻撃対象となりつつあることが挙げられている。2008年前半のケースでは、Webブラウザに対する攻撃の約78%がプラグイン関連だった。また発見された全脆弱性のうちの半数以上がWebサーバ・アプリケーション関連のもの。攻撃手法は手動から自動化へと移行しつつあり、Webサーバ・アプリケーションへの攻撃の中で特にSQLインジェクションを利用したものが大きく増加している。その割合は2007年に25%だったが、2008年前半には41%まで増加した。

スパムについては、以前までに多用されていた画像スパムや添付ファイルスパムといった複雑なものは一気になりを潜め、代わりに数個の単語とURLを組み合わせたシンプルなものが全体の90%を占める。これはスパムフィルターを回避するためだと考えられる。スパム送信元トップはロシアで全世界のスパムの11%、それに8%でトルコが続き、3位の米国の割合は7.1%となっている。

攻撃ターゲット別でみると、プレイ人口が増加しているオンラインゲームを対象にした攻撃が増えつつある。4桁のパスワードを盗むトロイの木馬はすべて、オンラインゲームのユーザーを対象にしたものだったことが、X-Forceの調査でわかった。狙いはゲーム内のアイテム売却で現実世界のリアルマネーに換金することにある。引き続き金融機関がフィッシング詐欺のメインターゲットとなっているが、ターゲットのトップ20候補のうち、金融機関はわずか2件だったという報告も出ている。新たなターゲットとなっているのが急速に利用が増えつつある仮想化(バーチャライゼーション)関連のシステムだ。仮想化に関する脆弱性の報告数は2006年からおよそ3倍に増えており、今後の潜在的なターゲット数も増えつつある。