「セキュリティ脆弱性は横ばい、ウイルスは依然活発」：シマンテックが報告

　セキュリティ対策ソフトの開発元であるSymantecが米国時間15日に発表した報告によると、過去半年間に発表されたソフトウェアのセキュリティに関する欠陥の数は横ばいとなったものの、ウイルスやワームはインターネットを脅かし続けているという。

　Symantecが半年毎に発表している「Internet Security Threat Report」によると、2003年に公開されたセキュリティ関連の脆弱性情報は2636件だったという。これは2002年に企業やセキュリティ研究者らが発表した脆弱性の件数、2587件からわずかに2％の増加に留まったと、Symantecのシニア・エンジニアリングディレクター、Alfred Hugerは述べている。Hugerによると、2001年から2002年の間には81％もの増加が見られたという。

　Computer Emergency Response Team（CERT）のCoordination Centerのデータの傾向も、この報告書の内容を裏付けている。同センターでは、2002年に見つかった欠陥は4129件だったが、2003年の報告件数は3784件で8％減少している。

　この傾向は、ソフトウェア開発プロセスが改善され、よくあるセキュリティ関連の間違いを避ける方法についてプログラマが学習していることを示しているといえるだろう。また、セキュリティ研究者らが警告を発表する前に、ソフトウェアメーカーに対して欠陥を修復する機会を与えるケースがますます増えており、これによって警告の発表が遅れていることもこの減少傾向の一因となっている。

　「メーカーと協力して欠陥を修正するパッチの開発に携わる人々が増えており、またパッチの開発にかかる時間は長くなっている」とSymantecのHugerは言う。たとえばMicrosoftは、最近見つかった複数のWindows脆弱性の修復パッチを作成するのに、半年以上の時間をかけていた。

　しかし、セキュリティ関連の欠陥に関する報告件数の減少は、別のあまり好ましくない要因の影響かもしれない、とHugerは述べている。その要因とは、研究者が新たな欠陥を見つけても、それを報告しないというケースが増えているという可能性だ。「優秀」なセキュリティ研究者の場合には、他者に差をつけるために、発見した欠陥に関する情報の公開を控える可能性があり、また悪意を持った研究者の場合は、攻撃に利用するために欠陥を発見してもそれを秘密にしておくということが考えられる。

　一方ウイルスやワームに関しては、Symantecの報告のほとんどが、同社クライアントや提携企業が所有する2万台以上のインターネットに接続した機器から提出されたデータに基づいている。このデータによると、攻撃の43％はワームによるものだったという。また、40％はシステムが特定の問題に対する脆弱性の有無について探りを入れるもので、必ずしも悪意のあるものではなかった。残る17％の攻撃は、ワーム以外による侵入攻撃だった。

　同報告によると、MSBlast（別名Blaster）は、Symantecのセンサーネットワークが過去半年間に検知した、攻撃を仕掛けている全コンピュータの3分の1近くに影響している。しかしMSBlastは、攻撃自体では全体の2％にしかならないという。これは、1台のコンピュータが複数の攻撃に利用される場合があり、MSBlastに感染したマシンを他のワームが利用しているためだ。たとえば、攻撃効率が非常に高いMicrosoftのSQL Slammerワームは、検知された全攻撃の4分の1以上を占めるが、実際に攻撃を仕掛けているコンピュータはわずか2.4％だった。

　2年以上前に最初に発見されたCode RedとNimdaという2つのワームも、いまだにネット上で感染を続けているという。

　また、以前に感染したことのあるコンピュータをターゲットにして攻撃を仕掛けるケースも増えているようだ。MyDoomやSoBig、Bagelなどの最新のウイルスは、感染したシステムに秘密の裏口を開けておくが、侵入者がまずこうした裏口がないかどうかを調べるケースもますます多くなっている。