2006年03月23日 01時48分メモ

情報セキュリティ白書2006年版に示されている「10大脅威」とは？

かなりタイムリーなネタも扱っているのは好印象。独立行政法人情報処理推進機構が製作したモノなので、うまくまとまっています。以下の簡単な解説とさらにそれビジュアル的にうまくまとめた図を見ればあっという間にセキュリティに関する基本的知識が把握できるのでオススメ。情報セキュリティ白書 2006 年版 - 10大脅威「加速する経済事件化」と今後の対策 -（PDF：2.6MB）
http://www.ipa.go.jp/security/vuln/documents/2005/ISwhitepaper2006.pdf

第１位事件化するSQL インジェクション
2005 年は大手のウェブサイトが狙われる類似の事件が多発しニュースとなりました。
「SQL インジェクションの脆弱性」がいくつかの事件の中で攻撃方法として使われたことから、
事件を示すキーワードとして話題になりました。

文章だと何のことだか分からないので図を引用

なんとなーくわかるのではないかと。チェックをきっちりするようにすれば
ある程度は防ぐことが可能。

第２位 Winny を通じたウイルス感染による情報漏えいの多発
2005 年も、Winny に代表されるP2P ファイル交換ソフトを利用したウイルスによる、
企業・組織などからの情報漏えいが目立っていました。
名簿や顧客情報といった個人情報以外にも、技術資料や機密資料、デジタルカメラの写真など、
漏えいしてしまった情報も様々です。

今までも各ニュースなどで報道されていましたが、この図はかなりわかりやすい

第３位音楽CD に格納された「ルートキットに類似した機能」の事件化
市販の音楽CD で、「ルートキット」と呼ばれる悪質なツールに利用されるような、
特定のファイルを隠す機能を持つソフトウェアをコンピュータにインストールするものがあり、
問題となりました。

ルートキットがファイルを隠す仕組みを解説した図、「ルートキット武器庫」って…

第４位悪質化するフィッシング詐欺
銀行のウェブサイトなどでは、フィッシング詐欺の対策が一般的になりました。
しかし対策を講じる側と攻撃者とのイタチごっこが続いています。
対象を限定して知人の名前などを利用して詐欺をしかける悪質な事例も見つかっており
「スピア型フィッシング詐欺」と呼ばれます。

面白いぐらいにいたちごっこになっている様子を解説した図、次の一手が気になる…

第５位巧妙化するスパイウェア
たくみな言葉でソフトウェアをインストールさせるなどの利用者の心理的な落し穴をついた攻撃
が増加しています。
リンクをクリックしただけで不正請求の画面を出す、いわゆるワンクリック詐欺が
増加したり、スパイウェア対策ソフトウェアと自称するスパイウェアなどが出てきています。

実際にこういう画面が出たらなぜか迷わず「OK」をクリックする人が多いというのが衝撃

第６位流行が続くボット
ウイルスメールや不正アクセスなどの様々な手段によりネットワーク経由で感染し、
外部からの指令に従って一斉に他者への攻撃を開始する、ボット(bot)が流行し続けています。

なかなかわかりやすいボットネットワークの図、こういう踏み台にされてる人ってのはきっと
スパイウェアにもガンガン感染しているんだろうな…

第７位ウェブサイトを狙うCSRF の流行
CSRF の脆弱性とは、ウェブサイトで提供される「投稿」や「削除」といった機能へのリンクを
罠として仕掛けることで、利用者が意図しない機能を実行させられてしまう問題です。
今までも存在は知られていましたが、実際のウェブサイトの攻撃に利用されるようになりました。

これを使われるとあっという間に掲示板とかがぐっちゃぐちゃになります

第８位情報家電、携帯機器などの組込みソフトウェアにひそむ脆弱性
組込みソフトウェアと呼ばれるものの中でも、電子レンジや録画機器などの家電や、
携帯電話やデジタルカメラ、携帯音楽プレイヤーなどの携帯機器では
ネットワークを利用するソフトウェアが珍しくなくなりました。
そのため、ウイルスや不正アクセスなど、コンピュータの世界における脅威が、
組込みソフトウェアの世界でも現実となってきています。

コレは確かに今後問題になってくるかも