情報処理推進機構(IPA)は3月22日,2005年の情報セキュリティに関する“10大脅威”とその対策方法などをまとめた「情報セキュリティ白書2006年版」を公表した。それによると,「SQLインジェクション」の脆弱性(セキュリティ・ホール)を突いた攻撃や,ファイル共有ソフト「Winny(ウィニー)」経由で情報を流出させるウイルス(悪質なプログラム)などを,2005年の大きな脅威として挙げている。
同白書は,2005年中にIPAに報告されたウイルスや脆弱性情報などを基に,ベンダーや組織の専門家で構成される「情報セキュリティ検討会」によって検討され,まとめられた。
同白書では,2005年の“10大脅威”として以下の項目を挙げている。
- 事件化するSQLインジェクション
- Winnyを通じたウイルス感染による情報漏えいの多発
- 音楽CDに格納された「ルートキットに類似した機能」の事件化
- 悪質化するフィッシング詐欺
- 巧妙化するスパイウエア
- 流行が続くボット
- Webサイトを狙うCSRF(クロスサイト・リクエスト・フォージェリ)の流行
- 情報家電,携帯機器などの組み込みソフトウエアに潜む脆弱性
- セキュリティ製品の持つ脆弱性
- ゼロデイ攻撃
これらの脅威に対抗するために,ユーザーには,
- 安全な(複雑な)パスワードを設定する
- コンピュータを最新の状態に保つ(脆弱性をふさぐ)
- 信頼できないソフトウエアやデータを使わない
- Winnyなどと重要な情報を一緒にしない
といった対策を施すよう呼びかけている。
また,管理者の対策としては,
- 総合的なセキュリティ・レベルを保つ
- 品質管理や保守作業と同様に,セキュリティ対策の体制を確保する
開発者の対策としては,
- セキュリティはソフトウエアの必須機能と考える
- 安全なソフトウエアの作り方について学ぶ
などを挙げている。
IPAでは白書の要約(PDFファイル14ページ)と,白書の全文(PDFファイル96ページ)を用意。いずれもWebサイトからダウンロードできる。
◎参考資料
◆プレス発表「情報セキュリティ白書2006年版」の発行について
◆ニュースリリース全文・情報セキュリティ白書抜粋版付(PDFファイル,909KB)
◆情報セキュリティ白書 2006年版-10大脅威「加速する経済事件化」と今後の対策-
◆情報セキュリティ白書 2006 年版 - 10大脅威「加速する経済事件化」と今後の対策-(PDFファイル,2.6MB)
