米シマンテック：「脆弱性公開からウイルス出現までのタイムラグが短縮の傾向」

　オンライン攻撃者がソフトウェアの欠陥を悪用するまでの時間は短く、企業にはコンピュータシステムにパッチをあてている時間的余裕がないことが、セキュリティ会社米Symantecが1日に発表した報告書で明らかになった。

　「Internet Security Threat Report」と題されたこの報告書は、Symantecの広範な侵入検知ネットワークから得た6カ月分のデータを分析した結果に基づくものだが、同書によると、新たな仕掛けられた攻撃の3分の2は、1年以内に発見された脆弱性を利用したものだという。たとえば、MSBlastワームが出現したのは、同ワームが悪用したセキュリティホールについて米Microsoftが顧客に警告を発した、わずか26日後のことだった。

　この報告書は、180カ国にある2万以上の検知装置から集めたデータを使用している。同報告書では、全攻撃の40％が、欠陥についての情報が最初に流れてから6カ月以内に行なわれていることが明らかになった。

　特に最近6カ月では、その傾向がより顕著で、脆弱性に関する情報が公開されてから、攻撃者がその脆弱性を悪用したコードを書くまでの時間が短くなっている。ただし、大規模な攻撃が出現するタイミングは、この傾向に反して、以前よりも長くなっている。たとえば、2年以上前に出現したCode Redワームは、それが悪用した欠陥が明らかになってからすぐに蔓延したが、最近のSlammerワームの場合は、脆弱性が明らかになってから半年も後になって、ネット上に出現している。

　また、インターネット上で悪さをする攻撃者らが、より複雑なワームやウイルス--ウイルス対策業界では混合攻撃と呼ばれている--を攻撃方法として選ぶようになっていることも、今回の報告書で明らかになった。こうした脅威は、コンピュータシステムへの感染のチャンスを増やすため、複数の異なる欠陥を利用することが多い。同報告書によると、2003年前半の、混合攻撃として分類される攻撃の数は、その前の半年より20％も増加している。

　この報告書ではさらに、特定の目的のために行う攻撃が増えていることも明らかになった。6月に最初に出回ったBugbear.Bは、特定の金融機関を狙い、機密情報とパスワードを盗む攻撃を仕掛けた（攻撃がどれだけ成功したかは不明だ）。また、SoBigウイルス群は、スパム業者を助けるために設計されており、感染した家庭のコンピュータを、スパム業者が大量のメールを送信する際のリレーポイントとして利用できるようにしている。