ブラウザを悪用したセキュリティの脅威が増加しており、IT運用上の次の重大なリスクになるかもしれないと、ある技術業界団体が指摘した。
Computing Technology Industry Association(CompTIA)は米国時間12日、ITのセキュリティと労働力に関する2回目の年次調査報告を発表した。CompTIAは、900社近い企業を対象にこの調査を実施し、各社にセキュリティ上の関心事を15項目ずつ挙げさせた。その結果、過去6カ月以内に少なくとも1回はブラウザベースの攻撃を受けたことがあると答えた企業は全体の36.8%に上った。ちなみに、昨年の調査では25%だった。
CompTIAのITディレクターRandall Palmは、「ブラウザベースの攻撃は当然の進化だ。われわれがうまく攻撃を防止できるようになるほど、ハッカーのほうでも頭を使い、新手の攻撃を仕掛けてくる。10年前には、大半のウイルスがフロッピー経由で感染していた。その次に来たのが電子メールとインスタントメッセージング(IM)ソフトウェア経由のものだ。そして、これからはブラウザがターゲットになる」と語った。
一般的なブラウザベースの攻撃は、ユーザーが一見無害に見えるウェブページにアクセスところから始まる。だが、このぺージには実は攻撃用のコードが隠されており、コンピュータを故意に破壊したり、プライバシーを侵害したりする。攻撃のタイプは、単純にブラウザを破壊するだけのものから、個人情報の盗難や機密データの消失につながるものまで、さまざまだ。
ウェブページに人をおびき寄せるのに最もよく使われるのが、悪質なウェブサーバへのリンクを記載した電子メールを送る方法だ。通常は、ユーザーがリンクをクリックするまで攻撃は始まらないため、多くのファイアウォールはこれを検知しない。従来のファイアウォールはネットワークに入ってくるトラフィックを検査するが、ブラウザ攻撃を防ぐためにはネットワークから出ていくトラフィックも検査する必要がある。
一部の企業ではブラウザベースの攻撃を阻止すべく、企業のウェブ利用状況を監視管理するSurfControlやWebsenseといった新興企業の製品を導入している。Check Point Software TechnologiesやNetScreen Technologiesといったファイアウォールベンダーも、製品に対策機能を追加している。しかしPalmは、問題を排除するまでの道のりは長いと語る。
「流入してくる脆弱性に対応することだけが、Check PointやNetScreenの狙うビジネス領域ではない。このような脅威への対策については、どのファイアウォールベンダーも反撃の準備を整えているところだ」(Palm)
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」