【セキュリティ】2010年は標的型攻撃の元年、モバイルの脅威はこれから--シマンテック総括（11/04/15）

　シマンテックは毎年、セキュリティ上の傾向を総括した「インターネットセキュリティ脅威レポート」をまとめている。このほど
発表された最新版の第16号では、2010年の脅威の動向として「標的型攻撃」「ソーシャルネットワーキング」「かくれんぼ」
「攻撃キット」「モバイルへの脅威」――という5つのテーマを挙げている。

　標的型攻撃では「Hydraq」と「Stuxnet」が注目されている。HydraqはInternet Explorerの脆弱性を悪用したものであり、
2010年1月に発生したGoogleへの攻撃に活用されたと指摘されている。一方のStuxnetは、デジタル署名を窃取するとともに、
4件のゼロデイ脆弱性を悪用し、イランの核処理施設で使われているシステムを狙ったものだ。

　ソーシャルネットワーキングは、2010年に突如としてユーザーへの普及拡大が起きているわけではない。ただ、ユーザーへの
浸透が進むにつれて、犯罪者のターゲットになる可能性がより広まったということを示している。

　かくれんぼというのは、ゼロデイ脆弱性と「ルートキット」を意味している。ゼロデイ脆弱性は、短期的には拡大傾向にあるものの、
長期的には拡大はしていないという。だが、ゼロデイ脆弱性は、より積極的な形で使用されるようになっており、HydraqとStuxnet
が示しているように、標的型攻撃に活用されるようになっている。

　2010年の5つめの動向として挙げられるのが、モバイル端末への脅威だ。モバイル端末を狙った脅威は、これまでも少なからず
存在していた。しかし、iPhoneやAndroid端末などのスマートフォンが拡大することで、脅威も増えているという状況だ。浜田氏は
2010年時点でモバイル端末に対する脅威は「まだ爆発的ではない」と説明。つまり、今後爆発的にスマートフォンを狙った脅威が
拡大する可能性があることを示している。

　モバイル端末の脆弱性は2009年で115件だが、2010年には163件に増加している。42％もの増加だ。そのうちiOSの脆弱性は
2件となっている。ただ、iOSの2件の脆弱性はいわゆる“脱獄”したものが対象だ。ほとんどがAndroidの脆弱性だ。スマートフォン
などのモバイル端末は、商取引の決済手段になる可能性を秘めており、今後標的にされるとレポートは分析している。

http://japan.cnet.com/news/business/35001806/

へー