NRIセキュアテクノロジーズ株式会社(本社:東京都港区、社長:増谷 洋、以下「NRIセキュア」)は、企業の情報システムに対する外部からの攻撃や、それに対抗する防御の状況を、「サイバーセキュリティ 傾向分析レポート2010」としてまとめました。これは、NRIセキュアが情報セキュリティ関連サービス(セキュリティ診断サービス等)を、顧客に提供した際に得られたデータをもとに分析したものです。

その結果、第三者からのアクセスにより、システムに被害が生じる可能性があるなど、重大な欠陥を持つWebサイトが前年度とほぼ同程度の36%存在していることや、新たに現れた脅威、Web感染型マルウェア※1への対策が不十分なシステムが31%存在することが判明しました。

【2010年版レポートにおける分析結果のポイント】
  • NRIセキュアが提供するセキュリティ診断サービスの対象システムのうち31%では、何らかの形でリモートログインサービス※2を公開し、第三者からのアクセスを許していた(図1)。特に2009年度猛威を振るった攻撃「Gumblar」※3では、端末をマルウェアに感染させてFTP※4アカウントを詐取し、そのアカウントを使用してWebコンテンツを改竄するという手法がとられた(図2)。診断結果によれば、FTPに限らず「非暗号化通信によるリモートログインサービスを公開している」システムが22%存在した(図1)。さらに、「Gumblar」及びその亜種がターゲットとしている「FTPサービスを公開している」システムが11%存在した(図1)。何らかの形でリモートログインサービスを公開しているシステムでは、たとえ基盤やアプリケーションが堅牢にできていたとしても、組織内の端末がWeb感染型マルウェアに感染した場合、システムが被害に遭う可能性があった。
  • 情報システムの基盤部分を狙う攻撃は現在でも非常に多いが、既に多くのシステムで対策が進んでいる。診断結果によれば、基盤部分に致命的な問題点が発見されたシステムの割合は、年々低下傾向を示し、2009年度は5%に留まった(図3)。しかしながら、注意すべき問題の発見割合については47%と急増しており、半数近いシステムで発見された。その内訳としては、「古いバージョンの製品の利用」、「リモートログインサービスの公開」といった問題のみ残しているシステムが大半を占めた。その理由として、基盤部分のセキュリティ対策が成熟してきた結果、リスクを勘案し手間・コスト面からあえて対策をとっていないためとも考えられる。しかし、このような問題を放置した結果、前述のように新たな脅威が現れた際に被害を拡大してしまう可能性がある。
  • Webアプリケーションを狙う攻撃に対して、セキュリティ対策が十分でないWebサイトは依然多く、セキュリティ診断サービスで致命的な問題点が発見された「危険な」Webサイトの割合は36%であった(図4)。2005年度以降、この割合は低下傾向を示していたが、ここにきて増加の兆しを見せている。危険と診断されたサイトの抱える問題としては、アクセス権限・パラメータ操作に対する設計・実装不備といった点が多い。また、代表的な問題であるSQLインジェクション※5の発見状況を分析した結果、対策の網羅性・完全性が不十分であるケースが多いことも判明した。

これらの問題が発見されたシステムについては、NRIセキュアから診断結果とともに具体的な対策案を提示し、早急に対応していただいております。特に今回の分析では、Web感染型マルウェアの登場により、組織内部からの脅威がクローズアップされました。このため今後の対策としては、インターネット境界部分での対策の徹底もさることながら、組織内部の端末の保護・社員教育・緊急対策の策定までを含めた、総合的なセキュリティ対策が必要と考えられます。

NRIセキュアでは、このような分析サービスやレポートの公表を通じて、社会全体のセキュリティレベルの向上に寄与しています。

「サイバーセキュリティ 傾向分析レポート2010」公開ページ
http://www.nri-secure.co.jp/news/2010/0706_report.html

※1:Web感染型マルウェア:
Webサイトを感染媒介とし、アクセスしたユーザへ感染を広げる悪意のあるソフトウェア
※2:リモートログインサービス:
ネットワーク経由で遠隔地のシステムに対してのログインや、各種機能を提供するプログラム
※3:Gumblar:
Web感染型マルウェアの1種、またはWeb感染型マルウェアを利用した攻撃モデルの総称。初期の悪用ドメイン名「gumblar.cn」にちなみ、このように呼称される事が多い
※4:FTP:
File Transfer Protocol。ファイル転送に用いられるプロトコル
※5:SQLインジェクション:
データベースに蓄積されている情報を不正に取得したり、サーバ上で任意のコマンドを実行したりすること

【ニュースリリースに関するお問い合わせ先】

株式会社野村総合研究所 コーポレートコミュニケーション部 海藤、潘
TEL:03-6270-8100 E-mail:

【調査に関するお問い合わせ先】

NRIセキュアテクノロジーズ株式会社 テクニカルコンサルティング部 高梨、野口、上田
TEL:03-6274-1011 E-mail:

【ご参考】

■ 調査概要

調査方法 :
NRIセキュアテクノロジーズが、2009年度(2009年4月1日~2010年3月31日)において、顧客に提供した情報セキュリティ関連サービスから得られたデータを分析している(セキュリティ診断サービスのデータについては、2005年からの経年分析含む)
分析対象 :
  1. (1)<マネージドセキュリティサービス>で管理する、以下の機器のログ解析
    (1)ファイアウォール
    インターネットに接続された80台分のログを対象
    (2)ウイルスチェックサーバ
    ゲートウェイに配置された26台分のログを対象
    (3)IDS(Intrusion Detection System / 侵入検知システム)
    バックボーンに配置されたIDSを対象

    ※<マネージドセキュリテイサービス>
    NRIセキュアの提供する、社内ネットワークや公開システムと、インターネットとの接続において必要となるセキュリティ対策のアウトソーシングサービス
    http://www.nri-secure.co.jp/service/mss/

  2. (2)<セキュリティ診断サービス>を提供した結果を解析
    (4)プラットフォーム診断
    118システム分 ※1のシステム基盤に対する診断結果を対象
    うち96システムに対しては顧客環境のファイアウォールを経由した診断(リモート診断)、うち22システムに対しては顧客ネットワーク内から対象機器に直接アクセスした診断(オンサイト診断)を行った。
    (5)Webアプリケーション診断
    206サイト分 ※2のWebアプリケーションに対する診断結果を対象

    ※<セキュリティ診断サービス>
    NRIセキュアの提供する、様々な観点からシステムの安全性を総合的に評価するサービス
    http://www.nri-secure.co.jp/service/assessment/

※1:
1つのサービスを提供する機器群を1システムとして集計
※2:
1つのサービスを提供するサイト群を1サイトとして集計
図1:リモートログインサービスを公開しているシステムの割合とその内訳
(プラットフォーム/リモート診断の結果より)
図1:リモートログインサービスを公開しているシステムの割合とその内訳
図2:「Gumblar」のFTPアカウント盗用によるWebコンテンツ改竄概念図
図2:「Gumblar」のFTPアカウント盗用によるWebコンテンツ改竄概念図
図3:システムの基盤部分についての危険度割合の推移
(プラットフォーム/リモート診断の結果より)
図3:システムの基盤部分についての危険度割合の推移
図4:Webサイトにおける危険度割合の推移
(Webアプリケーション診断の結果より)
図4:Webサイトにおける危険度割合の推移

当リリースに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法及び国際条約により保護されています。
Copyright (c)2011 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission.
Inquiries :