「ユーロ高によりEUのクレジットカードの値段が高い」シマンテック、2007年下期セキュリティレポート

　シマンテックは17日、インターネットセキュリティ脅威レポートの最新号（2007年7月～12月）を発表した。これによると、2007年下半期はこれまでのように多数のユーザーが利用するアプリケーションの脆弱性を使った攻撃手法から、Webサイトへの攻撃が増えてきている点を指摘。

　特に一般ユーザーに信頼されている正規サイトの書き換えによる脅威、つまり、サイト特定型のセキュリティ脅威（Site Specific Vulnerabilities）が増加しているのだという。

　特定のWebサイトへアクセスするユーザーは、汎用アプリケーションの利用者に比べると少ないが、普段利用しているサイトは、信頼しきってユーザー情報を登録・通知してしまったり、何気なくアクセスして閲覧してしまう。さらに、2007年下半期の6か月間でXSS（クロスサイトスクリプティング）の脆弱性が1万1,253件あっったにもかかわらず、同時期においてWebサイトの管理者が適切にパッチを施していたのは473件と全体の4％に過ぎず、悪意のあるユーザーにとって格好の標的となっている点も、こうした流れの要因になっている。

　また、SNSなどで友人を募り、一定のタイミングで詐欺行為を働くページへ誘導するといった手法も台頭しているという。2つの現象はそれぞれ「ユーザーを信頼させてから危険に晒す（セキュリティレスポンス シニアディレクター ヴィンセント フィーファー氏）」として、同社では今後もこうした傾向は増加するとみている。

　その他の傾向としては、ネット犯罪者たちのアンダーグラウンドエコノミーの形成を指摘。盗んだ情報を売買する市場が、現実の市場とリンクするため、「最近はユーロ高によりEUのクレジットカード情報の値段が高い」といった傾向も現れているのだという。

　さらに今後の傾向として3点を指摘。1つは企業のシステムが「ホワイトリスト方式」で運用されていくのではないかという点。これは直近で悪意のあるソフトウェアが、悪意のないソフトウェアの数を上回る予測に基づくもので、安全性を実証されたアプリケーションのみが利用の対象となっていくのではないかと予測している。

　次にUSB機器、小型ポータブルデバイスを標的とするケースの増加を指摘。日本でもUSBメモリなどを介した情報漏えい事件が発生しているが、安全対策を十分に行っていないPCで感染したUSBメモリを持ち込むことなどして、攻撃を受ける範囲が広がるのだという。

　最後は「米国独自の事情」として、大統領選など現実の事件とリンクして不正な寄付金を集める「古典的な手法」によるフィッシングサイトにも依然注意を払う必要があると語った。大統領選に限らず国際的な影響力のある国での大きなキャンペーンもそうしたフィッシング対象となりかねないとして、今後もいわゆるソーシャルハッキング的な手法は残っていくとみている。