シマンテックの『インターネットセキュリティ脅威レポート Volume 16』(英語)を読むと、インターネットセキュリティの脅威をめぐる 2010 年の傾向を把握できます。2010 年は、Trojan.Hydraq インシデント、Stuxnet による攻撃、おびただしい数のゼロデイ攻撃などの大きな事件が脆弱性に起因しており、控えめに言っても興味深い年だったことは確かです。
注目ポイントをいくつか挙げてみましょう。
- 新たに発見された脅威の多さで言えば、2010 年は記録的な年でした。この原稿の執筆時点で、年間で 6,253 件の脆弱性が報告されています。
- 脆弱性の急増は、2010 年に脆弱性の影響を受けた新規ベンダーの数が増えたことによるものです。シマンテックの調査では、2009 年に脆弱性の影響を受けた新規ベンダーが 734 社だったのに対し、2010 年は脆弱性の影響を受けた新規ベンダーは 1,914 社でした。
- これは、脆弱性を報告するセキュリティ研究者やベンダーの総数が増えていることも示します。
- 新規ベンダーでは、重大度の高い脆弱性に影響を受けるケースが急増しています。シマンテックの調査では、新規ベンダーに影響を与える重大度の高い脆弱性は、2010 年は前年比で 591 パーセントも増加しました。この増加の原因としては、セキュリティ研究者と新規ベンダーの双方が、重大度の高い脆弱性の特定に取り組んだことが挙げられます。
- 「バク報奨金」プログラムや脆弱性指摘プログラムも、脆弱性が急増した要因となっています。Mozilla が 2004 年に独自のバグ報奨金プログラムを立ち上げたのに続いて、2010 年には Google も、脆弱性の発見に対してセキュリティ研究者に報酬を与える独自のバグ報奨金プログラムを開始しました。こうしたプログラムによって、2009 年には 180 件だったセキュリティアドバイザリが 2010 年には全体で 338 件に増えました。
2010 年における脆弱性に関する注目ポイントや脅威をめぐるその他の分析については、シマンテックの最新の『インターネットセキュリティ脅威レポート』を参照してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。