米IBMのISSチームは2月2日(現地時間)、年間のセキュリティトレンドをまとめたレポートの最新版「2008 X-Force Trend and Risk」を発表した。
最新レポートでは「Webアプリケーションを狙ったサイトへの攻撃」「エンドユーザーを攻撃する新たな脆弱性の利用」という2つのトレンドがみられたと報告している。また脆弱性の件数が前年比13.5%増加し、スパム送信元/マルウェア提供サイトとしてそれまで1位だった米国を抜いて中国やブラジルが急浮上するなど、第三国の台頭が目立っている。
2つの主要トレンドのうち、Webサイトへの攻撃は最終的にエンドユーザーのマシンへの侵入を目的としたものだ。特にWebアプリケーション経由での侵入に重点を置いているという。Webにアクセスしたユーザーをマルウェアの仕掛けられたサイトへと誘導し、サイト攻撃に利用するというものだ。だがこうしたWebアプリケーションはカスタムされたものが多く、全体の74%にパッチが即座に適用できないという問題を抱えていた。また2008年に入って大規模な自動SQLインジェクション攻撃が出現しているが、攻撃量は増え続け、夏時点と年末との比較でおよそ30倍程度にまで急増している。
またエンドユーザーへの攻撃手法として、従来型のWebブラウザやActiveXへの攻撃を利用しながらも、マルウェアの仕掛けられた(Flashのような)動画やPDFファイルといった文章にリンクさせるタイプの新たな脆弱性も利用されている。またこうしたリンクを包含するサイトの数が昨年比で50%以上増加しており、スパム送信者らもこうしたサイトの利用に注目しているという。例えば人気ブログやニュースサイトに乗せられたスパムメッセージの量は2008年後半だけで倍増している。
X-Forceでは、このような形で2008年に報告された脆弱性の多くが、大規模な攻撃には利用されていないとみている。そのため、セキュリティ業界はこうした脆弱性情報の公開を優先すべきだと同チームでは考えている。現在業界では脆弱性評価の優先順位付けにCVSS(Common Vulnerability Scoring System)を利用しているが、CVSSを利用することで本当に緊急対策が必要な脆弱性を冷静に判断することが可能になる。
X-Forceのシニア運用マネージャKris Lamb氏は「攻撃者の動機は金銭面にあるが、攻撃コストにふさわしい対価を得られるかを考えさせるよう対処すべきだ」とコメントしている。