情報セキュリティ白書2006年版に示されている「10大脅威」とは?
かなりタイムリーなネタも扱っているのは好印象。独立行政法人 情報処理推進機構が製作したモノなので、うまくまとまっています。以下の簡単な解説とさらにそれビジュアル的にうまくまとめた図を見ればあっという間にセキュリティに関する基本的知識が把握できるのでオススメ。情報セキュリティ白書 2006 年版 - 10大脅威「加速する経済事件化」と今後の対策 -(PDF:2.6MB)
http://www.ipa.go.jp/security/vuln/documents/2005/ISwhitepaper2006.pdf
第1位 事件化するSQL インジェクション
2005 年は大手のウェブサイトが狙われる類似の事件が多発しニュースとなりました。
「SQL インジェクションの脆弱性」がいくつかの事件の中で攻撃方法として使われたことから、
事件を示すキーワードとして話題になりました。
文章だと何のことだか分からないので図を引用
なんとなーくわかるのではないかと。チェックをきっちりするようにすれば
ある程度は防ぐことが可能。
第2位 Winny を通じたウイルス感染による情報漏えいの多発
2005 年も、Winny に代表されるP2P ファイル交換ソフトを利用したウイルスによる、
企業・組織などからの情報漏えいが目立っていました。
名簿や顧客情報といった個人情報以外にも、技術資料や機密資料、デジタルカメラの写真など、
漏えいしてしまった情報も様々です。
今までも各ニュースなどで報道されていましたが、この図はかなりわかりやすい
第3位 音楽CD に格納された「ルートキットに類似した機能」の事件化
市販の音楽CD で、「ルートキット」と呼ばれる悪質なツールに利用されるような、
特定のファイルを隠す機能を持つソフトウェアをコンピュータにインストールするものがあり、
問題となりました。
ルートキットがファイルを隠す仕組みを解説した図、「ルートキット武器庫」って…
第4位 悪質化するフィッシング詐欺
銀行のウェブサイトなどでは、フィッシング詐欺の対策が一般的になりました。
しかし対策を講じる側と攻撃者とのイタチごっこが続いています。
対象を限定して知人の名前などを利用して詐欺をしかける悪質な事例も見つかっており
「スピア型フィッシング詐欺」と呼ばれます。
面白いぐらいにいたちごっこになっている様子を解説した図、次の一手が気になる…
第5位 巧妙化するスパイウェア
たくみな言葉でソフトウェアをインストールさせるなどの利用者の心理的な落し穴をついた攻撃
が増加しています。
リンクをクリックしただけで不正請求の画面を出す、いわゆるワンクリック詐欺が
増加したり、スパイウェア対策ソフトウェアと自称するスパイウェアなどが出てきています。
実際にこういう画面が出たらなぜか迷わず「OK」をクリックする人が多いというのが衝撃
第6位 流行が続くボット
ウイルスメールや不正アクセスなどの様々な手段によりネットワーク経由で感染し、
外部からの指令に従って一斉に他者への攻撃を開始する、ボット(bot)が流行し続けています。
なかなかわかりやすいボットネットワークの図、こういう踏み台にされてる人ってのはきっと
スパイウェアにもガンガン感染しているんだろうな…
第7位 ウェブサイトを狙うCSRF の流行
CSRF の脆弱性とは、ウェブサイトで提供される「投稿」や「削除」といった機能へのリンクを
罠として仕掛けることで、利用者が意図しない機能を実行させられてしまう問題です。
今までも存在は知られていましたが、実際のウェブサイトの攻撃に利用されるようになりました。
これを使われるとあっという間に掲示板とかがぐっちゃぐちゃになります
第8位 情報家電、携帯機器などの組込みソフトウェアにひそむ脆弱性
組込みソフトウェアと呼ばれるものの中でも、電子レンジや録画機器などの家電や、
携帯電話やデジタルカメラ、携帯音楽プレイヤーなどの携帯機器では
ネットワークを利用するソフトウェアが珍しくなくなりました。
そのため、ウイルスや不正アクセスなど、コンピュータの世界における脅威が、
組込みソフトウェアの世界でも現実となってきています。
コレは確かに今後問題になってくるかも
第9位 セキュリティ製品の持つ脆弱性
年間を通して、侵入検知システムやワクチンソフトなど様々なベンダが
提供するセキュリティ製品に次々と深刻な脆弱性が発見されました。
ウイルスバスターとか悲惨なことになってましたね
第10位 ゼロデイ攻撃
ゼロデイ攻撃とは、ベンダからの回避策などの情報提供や修正方法が一般に公開される前に
攻撃が行われることです。
2005年末、未公開の非常に広い影響がある脆弱性に対するゼロデイ攻撃が発見され、
問題となりました。
この「あるゼロデイ攻撃」というのは、例のWMFファイルの脆弱性です
ほかにも、弱く解析されやすいパスワードの例
拡張子を偽造しているファイルに注意
ショッピングサイトでの警告画面に注意
非常にわかりやすい解説が多く、難解な用語も同様に多いのですが、なんとな~くそれっぽく理解はできたつもりになれるのではないかな、と。あと、何も知らない人に解説する際にも非常に有用な資料ですね、これは。
・関連コンテンツ