米セキュリティ研究機関SANS Institute(System Administration Networking and Security Institute)の調査研究部門ディレクターのアラン・パーラー氏(写真)は,「現在,最も破壊力のある脅威」として「ゼロデイ攻撃」「訪問者を感染させるWebサイト」「サプライチェーン攻撃」の3つを指摘した。情報セキュリティ関連イベント「SANS Future Visions 2009 Tokyo」の開催に伴い、2009年7月16日に東京で行った記者説明会で述べたもの。
「ゼロデイ攻撃」は,未知のぜい弱性を突く攻撃のことである。パーラー氏は,「特に深刻なのは, “スピア・フィッシング(特定層を狙ったフィッシング)”に使われるゼロデイ攻撃である」と述べる。顧客データベースがゼロデイ攻撃を受けた米セールスフォース・ドットコムでは,盗まれた顧客のEメール・アドレスのうち特定層にフィッシング・メールが届いたという。
また,SANS Instituteの調査によると,「訪問者を感染させるWebサイト」は,5月時点で100万以上存在するという。また,同機関が3万1373のWebサイトを対象に実施した調査の結果,26%のサイトにSQLインジェクションのぜい弱性が確認された。これについて,パーラー氏は「セキュアなコードを書く教育を受けていないプログラマが多い」と問題点を指摘した。
最後に,パーラー氏は「サプライチェーン攻撃」に言及した。サプライチェーン攻撃とは,ソフトウエアやハードウエアの製造過程でマルウエアに感染する脅威である。「米国で販売されたデジタル・フォト・フレームのうち,100個に1個がサプライチェーン攻撃を受けている」(パーラー氏)。感染したデジタル・フォト・フレームをパソコンに接続すると,パソコンも感染してしまうという。サプライチェーン攻撃は,製造過程で製品に細工する必要があり,素人や単独犯には難しい。「大規模な組織による犯行の場合が多いようだ」(パーラー氏)。
