IPA 情報セキュリティ白書2009 10大脅威 攻撃手法の『多様化』が進む
こんにちは、丸山満彦です。IPAが「10大脅威 攻撃手法の『多様化』が進む」を公開していますね。。。
【IPA】
・2009.03.24 「10大脅威 攻撃手法の『多様化』が進む」を公開
=====
■組織への脅威
・第1位 DNSキャッシュポイズニングの脅威
・第2位 巧妙化する標的型攻撃
・第3位 恒常化する情報漏えい
■利用者への脅威
・第1位 多様化するウイルスやボットの感染経路
・第2位 脆弱な無線LAN暗号方式における脅威
・第3位 減らないスパムメール
・第4位 ユーザIDとパスワードの使いまわしによる危険性
■システム管理者・開発者への脅威
・第1位 正規のウェブサイトを経由した攻撃の猛威
・第2位 誘導型攻撃の顕在化
・第3位 組込み製品に潜む脆弱性
=====
「ユーザIDとパスワードの使いまわしによる危険性」は脅威というよりも脆弱性ですかなぁ ・・・という目で見ると厳密に脅威という言葉を使っているわけでもないですね。。。
■2007年の10大脅威 ますます進む『見えない化』
・第01位 高まる「誘導型」攻撃の脅威
・第02位 ウェブサイトを狙った攻撃の広まり
・第03位 恒常化する情報漏えい
・第04位 巧妙化する標的型攻撃
・第05位 信用できなくなった正規サイト
・第06位 検知されにくいボット、潜在化するコンピュータウイルス
・第07位 検索エンジンからマルウェア配信サイトに誘導
・第08位 国内製品の脆弱性が頻発
・第09位 減らないスパムメール
・第10位 組み込み製品の脆弱性の増加
■2006年の10大脅威 「脅威の“見えない化”が加速する!」
・第01位 漏えい情報のWinnyによる止まらない流通
・第02位 表面化しづらい標的型(スピア型)攻撃
・第03位 悪質化・潜在化するボット
・第04位 深刻化するゼロデイ攻撃
・第05位 ますます多様化するフィッシング詐欺
・第06位 増え続けるスパムメール
・第07位 減らない情報漏えい
・第08位 狙われ続ける安易なパスワード
・第09位 攻撃が急増するSQLインジェクション
・第10位 不適切な設定のDNSサーバを狙う攻撃の発生
■2005年の10大脅威 「加速する経済事件化」と今後の対策
・第01位 事件化するSQL インジェクション
・第02位 Winny を通じたウイルス感染による情報漏えいの多発
・第03位 音楽CD に格納された「ルートキットに類似した機能」の事件化
・第04位 悪質化するフィッシング詐欺
・第05位 巧妙化するスパイウェア
・第06位 流行が続くボット
・第07位 ウェブサイトを狙うCSRF の流行
・第08位 情報家電、携帯機器などの組込みソフトウェアにひそむ脆弱性
・第09位 セキュリティ製品の持つ脆弱性
・第10位 ゼロデイ攻撃
■2004年
A.1 ボット(botnet)の脅威
A.1.1 Microsoft WindowsのLSASSの脆弱性 Microsoft Windowsでは、
A.1.2 Microsoft WindowsのRPCの脆弱性
A.2 変化し続けるコンピュータウイルスの脅威
A.2.1 Microsoft Internet ExplorerのIFRAME要素の脆弱性
A.2.2 OpenSSH サーバプログラムの脆弱性
A.2.3 Microsoft Windowsのドメインコントローラの脆弱性
A.3 フィッシング詐欺の脅威
A.3.1 Microsoft Internet Explorerでコンテンツ枠外の座標への描画が可能な脆弱性
A.3.2 Microsoft Internet Explorerでステータスバーに表示するURLが偽造可能な脆弱性
A.4 サーバからの情報漏えいの脅威
A.4.1 ディレクトリトラバーサルの脆弱性
A.5 複数製品にまたがる脅威の増加
A.5.1 TCP プロトコルの脆弱性
A.5.2 H.323 プロトコルの脆弱性
A.5.3 JPEG 処理 (GDI+) のバッファオーバーランにより、コードが実行される
A.5.4 Microsot Internet ExplorerのBMPファイル処理における脆弱性
A.5.5 QTライブラリのBMPファイル処理における脆弱性
A.5.6 Mozilla製品のBMPファイル処理における脆弱性
A.6 ウェブサイトの改ざんの脅威
A.6.1 phpBBの脆弱性
A.6.2 OpenSSLの複数の脆弱性
A.6.3 Microsoft IISのWebDAVの脆弱性
A.6.4 クロスサイト・スクリプティングの脆弱性
A.6.5 Webアプリケーションのセッション管理方式の脆弱性
Comments