HOMEIPAについて新着情報IPAテクニカルウォッチ 『クライアントソフトウェアの脆弱性対策』に関するレポート

本文を印刷する

IPAについて

IPAテクニカルウォッチ 『クライアントソフトウェアの脆弱性対策』に関するレポート

~クライアントソフトウェアの脆弱性対策の必要性理解と促進~


2013年3月22日
独立行政法人情報処理推進機構

 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、クライアントソフトウェアの脆弱性を狙った攻撃の実情や対策のポイントについてまとめた技術レポート(IPAテクニカルウォッチ)を公開しました。

 近年、Oracle Java Runtime EnvironmentやAdobe Flash Player、Internet Explorerなど広く利用されているクライアントソフトウェアの脆弱性を悪用した攻撃が続いています。この攻撃の特徴は、ユーザーがファイルを開いたり、ウェブページを閲覧するといった一般的な操作でウイルス感染し、情報窃取やシステムへの不正アクセスに繋がることです。このため、被害を未然に防ぐためには、日頃からの脆弱性対策が必要となります。なお、このクライアントソフトウェアを悪用した攻撃はIPAが先日公開した2013年版10大脅威(*1)において社会的な影響が大きかったセキュリティ上の脅威の1位となっています。

 しかし、組織や企業で一括管理されているサーバーと異なり、クライアントPCに関しては、組織・企業や自宅など様々な環境で利用されているため、管理が利用者に依存しているケースが多くあります。そのため、利用者のITリテラシーによっては、脆弱性対策などのセキュリティ対策が疎かになりがちです。クライアントソフトウェアを狙った攻撃の被害に遭わないためには、企業内のユーザーおよびシステム管理者が、攻撃の危険性をしっかりと認識し、個々に脆弱性対策を行うことが重要です。

 本レポートでは、企業のユーザーおよびシステム管理者がクライアント環境を取り巻く脅威や、脆弱性対策の重要性を十分に認識できるよう、近年のクライアントPCの脆弱性を狙った攻撃事例を交えながら、対策方法を紹介しています。また、ゼロデイ攻撃への一時的な対策として最近注目されているマイクロソフト社のEMET(*2)を用いた、攻撃緩和策の有効性を検証しています。本レポートの要旨は、下記になります。

  • クライアントソフトウェアを狙った攻撃の実情とユーザー側の対策状況(1章)
  • 攻撃手法の紹介(2章)
  • 望ましい対策方法の紹介と対策における課題(3章)
  • EMETを用いた検証(4章)

 クライアントソフトウェアの脆弱性を狙った攻撃は、組織・企業に留まらず、個人ユーザーにも被害が及びます。IPAでは本レポートが、脆弱性対策が促進に繋り、サイバー攻撃による被害が減少されることを期待しています。

脚注

(*1)2013年版10大脅威:
http://www.ipa.go.jp/security/vuln/10threats2013.html

(*2)EMET(Enhanced Mitigation Experience Toolkit):
http://support.microsoft.com/kb/2458544/ja 別ウィンドウで開く

レポートのダウンロード

テクニカルウォッチ概要のダウンロード

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター 大森/亀山

Tel: 03-5978-7527 Fax: 03-5978-7518 E-mail: 電話番号:03-5978-7527までお問い合わせください。

報道関係からのお問い合わせ先

IPA 戦略企画部 広報グループ 横山/佐々木

Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: 電話番号:03-5978-7503までお問い合わせください。

Adobe ReaderPDFファイルをご覧いただくためには、Adobe Reader(無償)が必要です。
Adobe ReaderはAdobe Readerのダウンロードページよりダウンロードできます。