2006年もITproをご愛読くださり誠にありがとうございました。今年もセキュリティに関するニュースが相次いだ1年でした。現在も継続しているインシデント(セキュリティに関する出来事),2007年にはより一層ひどくなることが予想されるインシデントも少なくありません

 そこで本稿では,2006年にITproで公開したセキュリティ記事のアクセス数ランキング・トップ10をリストアップするとともに,重大トピックをまとめました。2006年を振り返るだけではなく,現在および来年の対策などに役立てていただければ幸いです。

前半の話題は「Winny」経由の情報流出

 2006年のセキュリティ記事アクセス数ランキングのトップ10は以下のとおり。

1位 「早く入金してください!」,“ワンクリックウエア”に注意---ウェブルート [3/14]
2位 Windows XP/2003のTCP同時接続数制限とその回避 [8/12]
3位 YouTubeビデオに見せかけた“罠”に注意,再生するとスパイウエアがダウンロード [11/07]
4位 記者も体験,偽セキュリティ・ソフトのだましの手口 [6/29]
5位 14歳少年が使ったフィッシング詐欺の手口 [5/30]
6位 「それでもあなたは使いますか?」,Winnyの危険性をIPAが再警告 [3/3]
7位 8月の修正パッチにIEが不正終了する問題,Windows 2000とXP SP1が影響 [8/12]
8位 「動画好きのユーザーは注意」,コーデックに潜むスパイウエアが脅威に [8/23]
9位 検出ツールの開発者が語る,「Winnyを検出する方法」 [4/12]
10位 マスコミと情報収集家が悪化させる「Winny問題」 [4/4]

 2006年前半は,ファイル共有ソフト「Winny(ウィニー)」経由の情報漏えい問題が大きな話題だった。

情報漏えいは止まるのか?「Winnyウイルス」総まとめ [3/15]

 Winnyを使ってパソコン中のファイルを暴露するウイルス(マルウエア)が猛威を振るい,社会問題にまで発展。当時,内閣官房長官だった安倍晋三氏が記者会見において,「情報漏えいを防ぐ最も確実な対策は,パソコンでWinnyを使わないこと。この点について,私からも国民のみなさんにお願いしたいと考えている」と発言するに至っている。

「最も確実な情報漏えい対策は『Winnyを使わないこと』」,安倍官房長官 [3/15]

 Winny経由の情報漏えいは,現在でも頻発している。Winny以外のファイル共有ソフトをターゲットにした“暴露ウイルス”も次々と出現している。一度流出した情報を回収することは困難。マスコミで報道されたり,“コレクタ(情報収集家)”に目を付けられたりしたら,流出情報は瞬く間に拡散し,回収は事実上不可能になるだろう。

 内閣官房情報セキュリティ センター(NISC)では,


ファイルの流出はあなた自身にとどまらず,あなたの勤務先や家族・友人等にも大きな不利益を与えます。場合によっては,職を失ったり人間関係が崩壊したりすることにもなりかねません
と警告している。このリスクを負ってまでファイル共有ソフトを利用する価値があるかどうか。いまだに利用している方は,改めて考えていただきたい。

ネット詐欺が相次ぐ

 2006年後半は,「フィッシング詐欺」や「ワンクリック詐欺」といったネット詐欺に関する記事がITproではよく読まれた。

 米国などと比べれば国内での被害報告は少ないフィッシングだが,5月末には14歳の少年によるフィッシング詐欺が明らかになり,大きな話題になった。

 フィッシング・サイトにアクセスすると警告を出すようなツールは多数市場に出ている。主要なWebブラウザの新版では,基本機能として実装し始めている。これらのツールや機能はもちろん助けにはなるが,万全とはいえない。フィッシングはユーザーの心の隙を突く“詐欺”であり,技術だけで100%防ぐことは不可能だからだ。フィッシングという詐欺が存在することを認識し,怪しいサイトへはアクセスしないことが重要だ。

なぜフィッシングにだまされるのか? [5/31]

 ネット詐欺としては,国内では「ワンクリック詐欺(ワンクリック架空請求)」のほうが被害が大きいようだ。ワンクリック詐欺とは,迷惑メール(スパム)などで誘導されたWebページ中の画像やリンクをクリックしただけで料金を請求するネット詐欺のこと。“振り込め詐欺”のインターネット版といえるだろう。

「ワンクリック詐欺」入門編 [10/17]

 ほかのネット詐欺同様,ワンクリック詐欺もさまざまな“工夫”を凝らし,“進化”を続けている。だまされないためには,まず第一に怪しいサイトへはアクセスしないこと。詐欺サイトへアクセスしてしまった場合には,すぐに引き返して,決して相手に連絡しないことが重要だ。

 2006年には,バナー広告を使った詐欺まがいの手口も目立った。セキュリティの警告のようなバナーを表示して,偽のセキュリティ・ソフトを購入させようとする“押し売り”や,偽の“当選バナー”を表示して個人情報を入力させようとする手口である。

インターネットは罠だらけ [12/13]

 ランキングにもあるように,動画(ビデオ)ファイルを“餌”にした手口も相次いだ。悪質なプログラム(マルウエア,スパイウエア)を動画のコーデックや動画プレーヤに見せかける手口や,再生すると悪質サイトが表示されるように細工を施した動画ファイルが確認されている。

 後者は,ファイル形式やプレーヤ・ソフトの仕様を悪用して動画ファイルに“罠”を仕込む手口である。

動画ファイルにも危険が潜む,“仕様”を悪用した手口が続出 [12/6]

 ファイル形式にかかわらず,配布元(提供元)が信頼できないファイルは,安易に開いてはいけない。

ゼロデイ/スピア攻撃とボットの脅威

 トップ10にはランクインしなかったが,2006年は「ゼロデイ攻撃」および「スピア攻撃」が目立った年でもある。修正パッチが未公開のセキュリティ・ホールを突くゼロデイ攻撃が多数確認され,それらの多くはスピア攻撃(特定の企業・組織だけを狙った限定的な攻撃)でもあった。

 5月以降,Microsoft Office製品を狙ったゼロデイ攻撃・スピア攻撃が相次ぎ,8月および9月には,一太郎を狙った攻撃も確認された。

「ゼロデイ攻撃」が当たり前の時代に [10/11]

 ゼロデイ攻撃やスピア攻撃の対策が難しい点の一つは,被害者が気づきにくいことにある。攻撃プログラム(ファイル)はメールに添付されて送られてきて,ユーザーが開くと動き出す。同時に攻撃ファイルを削除して,無害のファイルをパソコン上に表示させる。動き出した攻撃プログラムはバックグラウンドで別の悪質プログラムをダウンロードして実行する――といった具合だ。

 同じく“見えにくい脅威”としては,ボット(ボットネット)が挙げられる。ITproでボットを取り上げたのはちょうど2年前。

インターネット上の新たな脅威「ボット(bot)」に気をつけろ! [2004/12/16]

 以降,ボットの脅威は増大する一方であるにもかかわらず,メディアなどで取り上げられる機会は少ない。脅威や被害が見えにくいことが原因の一つだろう。

インターネットは平和になったか? [11/17]

「2007年は,脅威の『見えない化』がさらに進む」---ラック新井担当部長が予想 [12/14]

 “見えない脅威”をいかに顕在化させて,ユーザーに対策を促すか――。セキュリティにかかわる人たちやメディアにとって,この問題が2007年はより重要になるだろう。ボットに関しては,12月にその取り組みの一部が始まっている。

官民挙げての「ボット対策プロジェクト」始動,感染ユーザーに駆除方法を個別通知 [12/12]

 このプロジェクトだけでインターネットが“平和”になるとは思わないが,重要な一歩であることには間違いない。同プロジェクトの成功を祈りたい。ITproでも“顕在化”に役立つような情報を提供していくので,参考にしていただければ幸いである。