★阿修羅♪ > IT9 > 155.html ★阿修羅♪ |
Tweet |
http://internet.watch.impress.co.jp/cda/news/2006/06/21/12407.html
安全と思われていて実は危険なソフトウェア15種、米Bit9がリストアップ
セキュリティ企業の米Bit9は20日、脆弱性が存在することがわかっていながらも依然として人気があり、従業員のPCにインストールされている可能性が高いアプリケーション15種類を列挙した。これらのアプリケーションを修正するか除去することが企業のセキュリティを大幅に改善することにつながるとしている。ウイルスやスパイウェアだけが危険というわけではないということだ。
Bit9は今回、アプリケーションを列挙するための基準として、1)コンシューマに人気のあるソフトで、個人的にダウンロードされていること、2)ウイルスやスパイウェアのような危険なソフトウェアとして企業で認識されていないこと、3)米NISTの脆弱性データベースにクリティカルな脆弱性があるとして登録されていること、4)脆弱性のリスクをレーティングするCVSSにおいて7.0から10.0のレーティングをされていること、5)脆弱性を修復するためにエンドユーザーが手動でソフトウェアをアップグレードする必要があること──の5点を挙げている。
これらの条件に当てはまるソフトウェア15種類をBit9は列挙している。そのうち危険性が高いものから順に上位5位までを挙げると、1位がFirefox 1.0.7、2位がiTunes 6.0.2とQuickTime 7.0.3、3位がSkype 1.4、4位がAdobe Acrobat Reader 7.0.2/6.0.3、5位がSun JRE 5.0アップデート3とJRE 1.4.2_08となっている。そのほかにもFlash Player 7、MSN Messenger 5.0、RealPlayer 10などが挙げられている。
こうした企業内のセキュリティリスクを軽減するために管理者がとるべき方法としてBit9では、まずどのようなソフトウェアが起動しているのかを実際に知り、どのアプリケーションに脆弱性が存在するかを確認し、除去したいソフトウェアを明確に禁止することであると説明している。また、各従業員のPCのユーザー権限を最低にしていてもインストールできるソフトウェアがあることに注意すべきことも指摘。例えば、FirefoxはUSBデバイスからでも起動できることを指摘している。
関連情報
■URL
ニュースリリース(英文)
http://www.bit9.com/press061906.html
危険なソフトウェア一覧(英文、PDF)
http://www.bit9.com/docs/15VulnerableApps.pdf
2006/06/21 12:02