米国SANSが発表、NRIセキュアテクノロジーズが翻訳した、「2005年 インターネットにおける脆弱性トップ20リスト」が公開された（12/28）。

まずWindowsシステムの脆弱性。1位から順にWindowsサービス、IE、ライブラリ、OfficeおよびOutlook、Windowsの構成上の脆弱性と続く。これはWindowsのパッチ公開状況、特に毎月パッチ適用に追われているWindowsシステム管理者なら実感の湧く結果であろう。

次にクロスプラットフォームの脆弱性だが、これも順に列挙してみよう。バックアップソフト、アンチウイルス、PHPベースアプリ、データベース、ファイル共有アプリ、DNSソフトウェア、メディアプレーヤ、インスタントメッセージアプリ、MozillaおよびFirefoxとなっている。セキュリティ上不可欠なバックアップやアンチウイルスソフトが上位に来ているのは皮肉だ。そして、今年情報漏洩しまくった原因でもある「ファイル共有アプリケーション」も5位にランクインしている。

UNIXの脆弱性はシンプルなもので、UNIXの構成上の脆弱性とMac OS Xとなっている。「Mac OS X」という括り方では身もふたもない気がするが、そう言えば44件ものセキュリティアップデートがごそっと公開されたこともあった。

最後にネットワーク・プロダクトの脆弱性。1位がCisco社のIOSおよび非IOS製品で、次にJuniper社、CheckPoint社およびSymantec社製品、Cisco社製デバイスの構成上の脆弱性と続く。これまた「ほとんどの製品」と言っているもののような気もするが、要はネットワークの「キモ」の部分にも脆弱性があるということである。こればっかりは防ぎようがないので、かなり罪は重い。

結論だが、来年も毎日セキュリティ対策に追われるしかない、ということだ。

大手セキュリティ対策ベンダの製品をはじめ、著名なソフトウェアでセキュリティホールが相次いで発見された。4連発で紹介しよう。

まずはシマンテック。「Norton AntiVirus」など複数の製品でバッファオーバーフローの脆弱性が見つかったという（INTERNET Watch　12/22）。問題があるのはRAR形式の展開ライブラリとのことだ。

続いてはマカフィー。「McAfee SecurityCenter」の脆弱性により、細工されたWebページがActiveXコントロールを使って任意のファイルを作成したり、上書きすることができるという（INTERNET Watch　12/22）。ただし、修正プログラムも既に公開されているようだ。

次はQuickTime＆iTunes。「QuickTime 7.x」及び「iTunes 6.x」にセキュリティホールが見つかり、細工された.movファイルを開くとバッファオーバーフローが発生して、プロセスが以上終了するという（IT Pro　12/22）。Windows版とMac版の両方に脆弱性があるとのことだが、パッチはまだ公開されていないようだ。

最後はVMwareである。これまたバッファオーバーフローのセキュリティホールで、NAT機能を有効にした状態でゲストOS上で特定の操作をすると、ホストOS上で任意のプログラムを実行される脆弱性だという（IT Pro　12/22）。既に修正版が用意されているようだ。

4つのうち、バッファオーバーフローによる脆弱性が3つ、しかもセキュリティ製品の脆弱性が2つもある。年末に向けておやおやどうしたの、という感じだ。この分だと年末年始も気が抜けない。

今年を代表するセキュリティの脅威を2つ挙げるとすればフィッシングとスパイウェアと言っても過言ではないが、この2つをミックスしたような脅威も登場してきている。こうした複合型の脅威は来年さらに猛威をふるうものと思われる。

今回米Websenseの発表として報道されたのは、スパイウェア検出・駆除サイトと見せかけて、その実はスパイウェアをインストールされるという悪質なサイトが多数見つかっているというものだ（IT Pro　12/20）。メールなどを使って「スパイウェアに感染している」として偽のサイトに誘導し、メールアドレスなどを入力させ、スキャンを実施するとスパイウェアをインストールされるというもの。手口はフィッシングそのものだが、スパイウェアまで仕込まれてはたまらない。

2週間で1500を超えるサイトが見つかっているというから組織的な犯罪の可能性が高いと思われる。今のところそのほとんどは英語サイトだろうから、日本での被害はまだ先のことだろうが、時間の問題だ。このまま行くと「何も信じるな」が来年のキーワードになるのか――。

今年一年をわざわざ振りかえる必要もなく、相も変わらずセキュリティ・インシデントがニュースを賑わせている。Winnyへの情報流出事件もまたしかり、だ。

NTT東日本で社員情報がWinnyネットワークに流出した事件（INTERNET Watch　12/19）からは、セキュリティ教育について再度徹底すべき事柄が3つある。

其の一
元社員の個人用PCから業務情報が流出している点。退職社員に対しては情報の廃棄、データの削除を徹底するのが鉄則なのに、それができていない企業はまだまだ多いということだ。

其の二
そもそも機密情報が社外へ持ち出されていた点。個人用PCがウイルスに感染するのは勝手だが、そのPCに会社の情報が保存されているのはルール違反だ。NTT東日本でもデータの持ち出しは禁止していたというが、守られないルールは意味がない。

其の三
大前提として、懲りずにWinnyを使っている、しかも個人情報が保存されているPCで使用しているという点。会社のPCでWinnyを使用するのは論外だが、規則に違反して機密情報を持ち帰るのなら、せめてWinnyを一緒に使うのはよそうよ、と思うのだが、それすらできていないのだ。

今年は情報漏洩事件のオンパレード、「対策が不充分でした」という釈明も何とかまかり通っていたかもしれないが、来年からは通用しない上、そもそも企業としてみっともない。再度対策と教育を徹底したい。

フィッシング、スパイウェア、不正アクセス…。銀行ほどセキュリティが狙われやすい業種も少ないだろう。16日にUFJ銀行のメールマガジン読者に対してウイルスが添付されてメールが配信された事件（INTERNET Watch 12/16）は、今年一年の締めくくりとしては、意外にも古典的な脅威によるもので、その原因は初歩的なセキュリティ対策上の欠陥によるものだった。まだまだセキュリティホールは無数に存在しているという、新しい年に向けた警鐘として捉えておく必要がありそうだ。

同報道によると、メールの配信がパスワード不要ででき、メール配信サーバに対してウイルスに感染した不正なメールが投稿され、ウイルスメールを撒き散らしたらしい。しかもファイアウォールがLAN側には設置されていたがWAN側には設置されていなかったという杜撰さである。

奇しくもUFJ銀行では、偽造キャッシュカードが使用されるという事件が発生し、犯人はATM盗撮グループによる犯行だったと判明（読売新聞　12/22）。10月に問題になった盗撮事件、早くもその実働段階に入ったと見られる。来年正月には東京三菱銀行との合併による「三菱東京ＵＦＪ銀行」誕生を控えている。両銀行のシステムをつなぎ合わせてシステム統合される予定だが、新たなセキュリティ脆弱性を狙われることのないよう、切に願うばかりだ。