2014年はHeartbleed 脆弱性が大きな問題となりました。
このソフトウェア脆弱性についての問題は、私たちにセキュリティの必要性を喚起しました。
犯罪者の手口はますます悪質で巧妙なものとなり、逃れることは困難になってきています。
シマンテックの調査によると「重大な脆弱性」については、2013年は16%でしたが、2014年は20%に増加しました。
脆弱性の数は年々増加しています。
もちろん大半は修正パッチが用意されていますので対策することが出来ます。
しかし、多くの人が更新を適用しないということをマルウェア作成者や攻撃者は知っています。
そのため今まで立証された脆弱性であっても攻撃者は脆弱性を悪用することが出来ています。
これらのことを考えますと更新を適用することは本当に重要です。
マルウェアが見つかったサイトは、2013年は566件に1件でしたが、2014年は1126件に1件に減少しました。
この現象はWeb攻撃ツールキットがSaaSとしてクラウドで使用されるようになったことに起因します。
このWeb攻撃ツールキットについて少し解説致します。
このキットは攻撃対象者のコンピュータから脆弱なプラグインを見つけます。
そして一番有効な攻撃を行います。
またIPアドレスがすぐに変わり、バレットプルーフ(防弾) ホスティングサービスに配置されるケースが多くなっています。
そのことにより、検出やシャッタダウンされにくくなっています。
攻撃者は、どのように攻撃が検出され、どのように管理されているかを把握し、悪意あるコードが発見されないよう防止することが出来ています。
ではここで「スキャンされたWEBサーバーでパッチ未適用として検出された脆弱性トップ10」を発表致します。
第1位:SSL/TLS Poodle 脆弱性
第2位:クロスサイトスクリプティング
第3位:SSL v2 サポートの検出
第4位:SSL の脆弱な暗号スイートのサポート
第5位:不正な SSL サーバ 証明書チェーン
第6位:暗号化されたセッション (SSL) cookie での secure 属性の欠落
第7位:SSL/TLS プロトコルのリネゴシエーションの脆弱性
第8位:PHP ʻstrrchr()ʼ 関数の情報開示の脆弱性
第9位:http TRACE XSS 攻撃
第10位:OpenSSL ʻbn_wexpend()ʼ エラー処理の未指定
また次に「悪用されることの多かったWEBサイトの分類トップ10」を発表致します。
第1位:テクノロジ
第2位:ホスティング
第3位:ブログ
第4位:ビジネス
第5位:アノニマイザ(匿名)
第6位:エンターテインメント
第7位:買い物
第8位:違法
第9位:プレースホルダ
第10位:バーチャルコミュニティ
ここで注目したい点はアノニマイザ(匿名化)サイトが第5位にランクインしていることです。
これはブラウズのプライシーをユーザーが高めたものの、それに犯罪者が追従したことが原因の一つと考えられます。
潜在的な脆弱性があるサイトはまだまだ多くあります。
悪意ある犯罪者はその脆弱性を悪用して成功を収めています。
これを機会に、セキュリティ対策を見直されてはいかがでしょうか。
- 1303 views
- キム
