ラックは2007年8月23日、脆弱性に関する情報を統計的にまとめた「SNSDB Advisory Report」を発表した(同レポートのWebサイト)。これは、世界中の脆弱性に関するラックのデータベース(SNSDBアドバイザリ)を基にしたレポートである。同社が関連ベンダーのWebサイトや電子メールなどから脆弱性に関する情報を収集、内容を分析すると共に日本語に翻訳したものだ。今後、四半期ごとに発表するという。
同レポートを発行することになったきっかけは、同社が2月13日に発表した緊急レポートだという。米マイクロソフトのオフィス製品に関連した脆弱性と脅威の動向を警告する内容だったが、反響が大きかったことから、定期化することにしたという。ただし、2月のような緊急に警告する必要があるものについては、不定期に「号外」的に発行するという。
今回発表した最新レポートでは、167件のSNSDBアドバイザリが基になっている。そこから、特に危険性が高い10件の脆弱性を紹介している。例えば、MIT Kerberos 5に見つかったセキュリティの問題や、マイクロソフトのWebブラウザに関するバッファ・オーバーフロー問題は、いずれもリスクレベル5(High)として紹介されている。
ここで示すリスクレベルは5段階あり、最も高いレベル5から最も低いレベル1までの全体に占める割合は、順に、15%、27%、33%、22%、3%となっている。
このほか、ベンダー別に脆弱性件数を示している。それによると、米レッドハットが最も多く62件、ミラクル・リナックスの34件、マイクロソフトの32件が続く。
攻撃方法別では、任意のコード攻撃とDoS(サービス停止)攻撃がそれぞれ全体の35%、32%となっており、全体の3分の2を占める。
| ■変更履歴 脆弱性情報の収集に関して、当初は「ラックのユーザーやハニーポットから収集する」としていましたが、正しくは世界中の脆弱性情報サイトなどから収集しています。お詫びして訂正します。本文は修正済みです。 [2007/8/24 10:50] |
