Webプラグインの脆弱性に気をつけろ！

アプリケーションの脆弱性を考える場合、各種Webプラグインについても着目する必要がある。前回「第2回：お金儲けがその目的と知れ」で取り上げた「MPack」も、Webプラグインの脆弱性を活用しているものの1つだ。

数年前まではWindowsの脆弱性を利用して攻撃を行うことが主流だったが、その後Internet Explorerに対する攻撃が激化した。もちろんマイクロソフトもこの点は十分に理解しており、積極的にパッチをリリースして穴を埋めている。これに対して悪意のある者たちは、Webプラグインの脆弱性に注目しだしたのである。

MPackが利用している脆弱性のリストを見ると、WindowsメディアプレーヤやWinZIP、QuickTimeなどの脆弱性を利用していることがわかる。このWebプラグインの脆弱性は年々増加傾向にあり、2006年は年間で108件だったものが、2007年は前半だけで237件が発見されている。

単純計算すれば、Webプラグインの2007年の脆弱性は2006年の約4倍になっていることになり、同じ勢いで増え続ければ2008年はさらに4倍、という事態になりかねない。今後はInternet Explorer側でWebプラグインの脆弱性をカバーする仕組みなどを実装する、といった動きが考えられるが、現時点は無防備な状態が放置されている。

2008年初頭には、リアルプレーヤの脆弱性が発表された。このようなWebプラグインの脆弱性を突いた攻撃は「ゼロデイアタック」が多く、情報が出ただけで危険度は大幅にアップする。幸い今はリアルプレーヤに対するウイルスが出ていない状態だが、そのまま放置される状態は、いつウイルスに感染してもおかしくないシステムを使い続けることと等しい。

以前は「怪しげなファイルはダブルクリックしない」であったり、「疑わしいURLはクリックしない」と説明するだけでよかったものが、今では普通にWebサイトを見ているだけで感染してしまうケースもある。今はもう、そのような時代に入ってきており、2008年もこのような状況が続いていくだろう。

セキュリティ先任者の存在が要

現在、企業におけるIT管理者の役割が幅広くなり、一部のしっかりした管理者を除いて「セキュリティもやらなくてはいけない」という非専業の管理者が増えてきている。またセキュリティの中でもウイルス対策をやっている、といった専門的に業務を行なっている管理者は非常に数が少ないのが現状だ。

もちろん経営者層が知識を持ち、危機感を持って対処することが望ましいのは当然のことだ。しかし、いまだにWinnyによる情報漏洩事件が多発している現状は、「何とかしなくちゃいけない」と意識だけはしているものの、何も対策がなされていないといえるだろう。

上にあげた参考リンクや1月の特集「セキュリティ最前線」を読み、自社のセキュリティ対策について今一度考えてもらいたい。 タイトルへ戻る