ウェブブラウザのプラグインが攻撃の標的に--IBM X-Forceレポート

　日本IBMは7月30日、米IBMによる「X-Force 2008 上半期セキュリティートレンド統計レポート」を発表した。レポートによると、サイバー犯罪は自動化技術などを駆使し、今までにない速さで脆弱性を突く攻撃コードを生み出しているという。この新しいツール群は、犯罪組織がインターネット上に公開しているとのことだ。

　ウェブブラウザに関連した脅威のうち94％が、脆弱性が公式に開示されてから24時間以内に起こっている。ゼロデイ攻撃と呼ばれるこの攻撃は、人々が自分のシステムにセキュリティパッチが必要なことを知る前にインターネット上に出現しているため、大きな問題となる。

　標的はパソコンなどのOSからウェブブラウザへ、そしてウェブブラウザからブラウザのプラグインへと変化していることも明らかになった。2008年上半期において、ウェブブラウザに対する脅威のおよそ78％が、ブラウザプラグインを標的にしていた。

　また、脆弱性情報公開の半数以上は、ウェブサーバアプリケーションに関連している。特にSQLインジェクションによる脅威が増えており、2007年にはウェブサーバアプリケーション脆弱性の25％であったのが、2008年前期には41％を占めるまでになった。

　レポートではこのほか、画像やファイル添付による複雑なスパムがなくなり、シンプルな文章とURLによるスパムとなったこと、世界のスパムの11％がロシアから送られており、以下トルコ（8％）、米国（7.1％）と続いていること、オンラインゲームがサイバー犯罪の標的になっていることなどを挙げている。