HOME情報セキュリティ情報セキュリティ対策脆弱性対策脆弱性対策:情報セキュリティ白書2008 第2部 10大脅威 ますます進む「見えない化」

本文を印刷する

情報セキュリティ

脆弱性対策:情報セキュリティ白書2008 第2部 10大脅威 ますます進む「見えない化」

※本資料は2011年版を公開しております。 こちらからご参照ください。

2008年5月27日
独立行政法人情報処理推進機構
セキュリティセンター

 独立行政法人情報処理推進機構(略称:IPA、理事長:西垣 浩司)は、5月23日(金)に発刊を公表した情報セキュリティ白書2008から、第2部「10大脅威 ますます進む『見えない化』」を抜粋し、2008年5月27日(火)よりIPAのウェブサイトで公開しました。

 情報セキュリティ白書2008 第2部 「10大脅威 ますます進む『見えない化』」は、IPAに届けられたコンピュータウイルス・不正アクセス・脆弱性に関する情報や一般に公開された情報を基にまとめたものです。「情報セキュリティ早期警戒パートナーシップ(*1)」に参画する関係者のほか、情報セキュリティ分野における研究者、実務担当者など104名から構成される「情報セキュリティ検討会」で、2007年に「印象が強かったもの」、「社会的影響が大きいもの」などの観点から投票を行い、10大脅威を選択、分析し、今後の対策をまとめました。

 近年、利用者が攻撃者の仕掛けた罠に誘導される形(誘導型)の攻撃の脅威が増え、また、クロスサイト・スクリプティング(*2)やSQLインジェクション(*3)などのウェブサイトの脆弱性を狙った攻撃も広まっています。利用者はソフトウェアを常に最新の状態にしておく、運営者や開発者は「安全なウェブサイトの作り方」などの資料を参考に安全性向上に取り組むなどの対策が必要です。

 本書は、5月23日(金)に発刊を公表した「情報セキュリティ白書2008」の第2部となっております。近年の情報セキュリティを取り巻く状況の理解や、今後の対策の参考になれば幸いです。

10大脅威 ますます進む『見えない化』

第1位 高まる「誘導型」攻撃の脅威
第2位 ウェブサイトを狙った攻撃の広まり
第3位 恒常化する情報漏えい
第4位 巧妙化する標的型攻撃
第5位 信用できなくなった正規サイト
第6位 検知されにくいボット、潜在化するコンピュータウイルス
第7位 検索エンジンからマルウェア配信サイトに誘導
第8位 国内製品の脆弱性が頻発
第9位 減らないスパムメール
第10位 組み込み製品の脆弱性の増加

第1位 高まる「誘導型」攻撃の脅威

高まる「誘導型」攻撃の脅威

第2位 ウェブサイトを狙った攻撃の広まり

ウェブサイトを狙った攻撃の広まり

第3位 恒常化する情報漏えい

恒常化する情報漏えい

10大脅威の主要な関係

10大脅威の主要な関係

用語の解説

(*1) 情報セキュリティ早期警戒パートナーシップ
経済産業省告示に基づき、2004年7月より開始したものです。ソフトウェア製品及びウェブアプリケーション(ウェブサイト)に関する脆弱性関連情報を円滑に流通し、対策の普及を図るため、公的ルールに基づく官民の連携体制の基本枠組みです。
(*2) クロスサイト・スクリプティング
ウェブサイトのアンケート、掲示板、サイト内検索機能のように、ユーザからの入力内容をウェブページに表示するウェブアプリケーションで、きちんとセキュリティ対策がされていない場合、悪意を持ったスクリプト(命令)を埋め込まれてしまい、偽ページの表示などが可能になってしまう脆弱性です。
(*3) SQLインジェクション
データベースと連携しているウェブアプリケーションの多くは利用者からの入力情報を基にSQL(Structured Query Language)文を組立てています。この組み立て方法に問題がある場合、悪意を持って細工されたSQL文を埋め込まれてしまい(Injection)、情報漏洩・改ざん、不正操作などが可能になってしまう脆弱性です。

参考資料

お問い合わせ先

本件に関するお問い合わせ先

独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC) 担当:大森/谷口
TEL:03-5978-7527 FAX:03-5978-7518
E-mail:電話番号:03-5978-7527までお問い合わせください。

報道関係からのお問い合わせ先

独立行政法人 情報処理推進機構 戦略企画部 広報グループ 担当:横山
TEL:03-5978-7503 FAX:03-5978-7510
E-mail:電話番号:03-5978-7503までお問い合わせください。

更新履歴

2010年 3月31日 2010年版 10大脅威へのリンクを追記
2009年 3月24日 情報セキュリティ白書2009 第2部へのリンクを追記
2008年10月28日 第2刷(文言等の微修正)に更新
2008年 5月27日 掲載