米国SANSが発表、NRIセキュアテクノロジーズが翻訳した、「2005年 インターネットにおける脆弱性トップ20リスト」が公開された（12/28）。

まずWindowsシステムの脆弱性。1位から順にWindowsサービス、IE、ライブラリ、OfficeおよびOutlook、Windowsの構成上の脆弱性と続く。これはWindowsのパッチ公開状況、特に毎月パッチ適用に追われているWindowsシステム管理者なら実感の湧く結果であろう。

次にクロスプラットフォームの脆弱性だが、これも順に列挙してみよう。バックアップソフト、アンチウイルス、PHPベースアプリ、データベース、ファイル共有アプリ、DNSソフトウェア、メディアプレーヤ、インスタントメッセージアプリ、MozillaおよびFirefoxとなっている。セキュリティ上不可欠なバックアップやアンチウイルスソフトが上位に来ているのは皮肉だ。そして、今年情報漏洩しまくった原因でもある「ファイル共有アプリケーション」も5位にランクインしている。

UNIXの脆弱性はシンプルなもので、UNIXの構成上の脆弱性とMac OS Xとなっている。「Mac OS X」という括り方では身もふたもない気がするが、そう言えば44件ものセキュリティアップデートがごそっと公開されたこともあった。

最後にネットワーク・プロダクトの脆弱性。1位がCisco社のIOSおよび非IOS製品で、次にJuniper社、CheckPoint社およびSymantec社製品、Cisco社製デバイスの構成上の脆弱性と続く。これまた「ほとんどの製品」と言っているもののような気もするが、要はネットワークの「キモ」の部分にも脆弱性があるということである。こればっかりは防ぎようがないので、かなり罪は重い。

結論だが、来年も毎日セキュリティ対策に追われるしかない、ということだ。