米国のセキュリティ研究機関であるSystem Administration Networking and Security Institute(SANS)が英国時間11月15日,ITセキュリティ攻撃の対象として狙われやすい20項目の一覧「SANS Top 20 Internet Security Attack Targets(2006 Annual Update)」を発表した。それによると,パッチがリリースされていない脆弱性を突いたゼロデイ攻撃が急増しており,攻撃対象は「Internet Explorer(IE)」以外のMicrosoftソフトウエアにも広がっているという。
Microsoft Officeについては,2006年はセキュリティ・ホールの数が2005年に比べ3倍に増えたという。Microsoft Officeだけで約45件の深刻なセキュリティ・ホールが見つかっており,「そのうち9件はゼロデイ攻撃の危険があった」(SANS)。
また同社は,IEやMicrosoft Office,「Mac OS X」などに加え,ユーザー自身もフィッシング攻撃対象になりやすい“脆弱性”があると指摘する。
SANSがインターネットで攻撃されやすいとして挙げた主な項目は以下の通り。
【OS関連】
・IE
・Windowsライブラリ
・Microsoft Office
・Windowsサービス
・Windowsの設定にかかわる弱点
・Mac OS X
・UNIXの設定にかかわる弱点セキュリティ・ホール
【クロスプラットフォーム・アプリケーション】
・Webアプリケーション
・データベース・ソフトウエア
・PtoPファイル共有アプリケーション
・インスタント・メッセージング(IM)
・メディア・プレーヤ
・DNSサーバー
・バックアップ・ソフトウエア
・セキュリティ/エンタプライズ/ディレクトリ管理サーバー
【ネットワーク機器】
・VoIPサーバー/電話
・機器の共通設定にかかわる弱点
【セキュリティ・ポリシーとユーザー】
・過剰なユーザー権限と使用許可を得ていない機器
・ユーザー自身(フィッシングおよびスピア・フィッシング)
