2010年下半期 Tokyo SOC 情報分析レポート 公開 を読んだメモ。

• 「ドライブ・バイ・ダウンロード攻撃」を、広告サービス・アクセス解析サービスなど、多数の web サイトから共通に利用されるサービスに仕込まれる事案多し。確かにこれなら多くのユーザを効率的に攻撃できる。Mashup されたサイトのセキュリティがより重要になる？　動的な Mashup サイトなら SMash とか使えるが…
• ゼロデイ脆弱性を悪用した標的型攻撃が観測されている。気付きにくいのが恐い
• 相変わらず SQL インジェクションは多い。去年はコンテンツ・マネジメント・システム（CMS）が狙われたらしい (xoops とかか）
• 「公開サービスへの総当り攻撃」なんてのもあるのか
• 単純に「パスワード認証を行うサイトにブルートフォースアタックする」らしい
• 攻撃対象サービスは SSH, FTP で、攻撃対象アカウントは Administrator, root, test など
• 私が選んだ脆弱性を狙われる3大クライアントアプリケーション: IE, Adobe Acrobat/Reader, Java Runtime Environment
• レポートの中で ProFTPd とかも挙げられているが、ほとんどのユーザが導入しているのはこの3つでは。頻繁にアップデートしている印象がある。Adobe Reader に至っては今でも何件か脆弱性が残っている（保護モードにより悪用は不可能なので定期アップデートでまとめて修正する、というのが Adobe の見解）。
• WebKit の脆弱性も要注意。iOS と Android のブラウザ（Safari/Chrome）を両方まとめて攻撃できる。