米セキュリティ企業、ゼロデイ脆弱性情報をまとめたウェブサイトを開設

文:Joris Evers(CNET News.com) 翻訳校正:編集部

2006-12-06 16:09

 eEye Digital Securityは米国時間12月5日、修正パッチが公式にリリースされておらず、ゼロデイ脆弱性となってしまっているセキュリティバグを追跡調査するウェブサイトを開設した。

 新設された「eEye Zero-Day Tracker」ウェブサイトには、5日の時点で、Microsoft製ソフトウェアにかかわる6件と、Adobe Systemsの「Acrobat」にかかわる1件のゼロデイ脆弱性がリストアップされていた。eEyeは、これらを悪用した攻撃から身を守るための手順を、各脆弱性についてそれぞれ提示している。

 eEyeの最高技術責任者(CTO)Marc Maiffret氏は、「日々新たに確認されるゼロデイ脆弱性やゼロデイ攻撃は、増加の一途をたどっている。当社にも、ネットワークを保護するための情報をいち早く提供してほしいという顧客の要望が殺到している」と、声明の中に記した。

 セキュリティ監視企業のSecuniaFrench Security Incident Response Team(FrSIRT)も、パッチが適用されていない脆弱性を常に追いかけているが、すべてのゼロデイ問題を包括的に把握できるような仕組みは提供していない。例えばSecuniaは、ゼロデイ脆弱性を製品ごとにリストアップしている。

 特に2006年は、標的を絞り込んだサイバー攻撃に、新たに発見されたパッチ未適用の脆弱性が悪用されるケースが多かった。攻撃者はMicrosoftの月例パッチリリースに目を付けて、同社がパッチを提供した直後に新種の攻撃を仕掛けるようになっている。

 Microsoftは月例パッチリリースを毎月第二火曜日に行っており、広範な影響をおよぼす攻撃が起こらない限り、このサイクルを変更することはない。そうした背景から、セキュリティ専門家の中には「ゼロデイ水曜日」という造語を使用する者もいる。

 攻撃者は、とりわけ「Office」アプリケーションの脆弱性を好むようだ。2006年に入り、Microsoftおよびセキュリティ企業は、「Word」「PowerPoint」「Excel」といったアプリケーションのセキュリティホールで、いまだ修正が施されていないものを悪用する小規模かつ新たな攻撃に注意するよう、繰り返し呼びかけている。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  2. セキュリティ

    マンガでわかる脆弱性“診断”と脆弱性“管理”の違い--セキュリティ体制の強化に脆弱性管理ツールの活用

  3. セキュリティ

    クラウドセキュリティ管理導入による投資収益率(ROI)は264%--米フォレスター調査レポート

  4. クラウドコンピューティング

    生成 AI リスクにも対応、調査から考察する Web ブラウザを主体としたゼロトラストセキュリティ

  5. セキュリティ

    情報セキュリティに対する懸念を解消、「ISMS認証」取得の検討から審査当日までのTo Doリスト

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]