悪意のある攻撃者は、「スピアフィッシング」とも呼ばれる、ターゲットを特定して仕掛けるフィッシング攻撃と、カスタムメイドのアプリケーションの2分野に、ますます狙いを絞り込んできており、SANS Instituteが発表した2007年の「Top 20 Internet Security Risks」でも、この2分野が目立っている。
米国時間11月27日にリリースされた同報告書では、オンライン攻撃者の悪らつな行為と、セキュリティ企業が取り組んできた問題の一端が明らかにされている。
SANS InstituteのリサーチディレクターであるAlan Paller氏は「スピアフィッシングは、軍事および民間の政府組織や、軍と契約を結んでいる武器製造業者などに、最も重大かつ有害な影響を及ぼしてきた」と語った。
Paller氏は、過去18カ月にわたって最も大きな損害を与えてきた攻撃の90%は、軍および政府組織を狙ったものであったと睨んでいる。企業のエグゼクティブも、ますますスピアフィッシングの標的となってきている。
Paller氏は、他のセキュリティ専門家と共に、同報告書の発表がなされたプレスカンファレンスに出席して「スピアフィッシングは、金銭的な利益を狙ったというよりは、スパイ行為の一環として用いられる」と述べた。
例えば、今回の報告書で引用された一例を紹介すると、ある小規模連邦機関の最高情報責任者(CIO)は、気づかないうちに、自分のコンピュータが中国へとデータを送っていることを発見した。
さらに、組織内で最もセキュリティが甘い拠点への対策として、自ら従業員に無害なフィッシング攻撃を仕掛けて、取るべきセキュリティ対策について真剣に考えるように従業員を教育する、一風変わったステップを採用してきた連邦機関まであることも明らかにされている。
フィッシング攻撃は、金銭的な利益を得るためにも用いられ、ログオン情報やパスワード、社会保障番号や預金口座に関する機密情報などを流出させるように誘い込む手段となっている。
また、悪意のある攻撃者は、開発者がソフトウェアに十分なセキュリティ対策を施すことに、それほど乗り気でないのをよいことに、カスタムメイドのアプリケーションも好んでターゲットにしてきた。以前は、攻撃者は、広く一般的に利用されているソフトウェアを集中的に狙っていた。
今回のトップ20リストに挙げられた、頻繁に狙われる他の攻撃対象としては、クライアント側では、ウェブブラウザ、統合オフィスソフトウェア、電子メールクライアント、メディアプレーヤーなどがあり、同様にサーバ側では、Windowsサービス、UnixおよびMac OSサービス、データベースソフトウェアなどが含まれる。
また、暗号化されていないノートPCやリムーバブルメディアとともに、VoIPサーバおよびVoIP電話もリストに含まれている。
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ