中国・北京大学と独マンハイム大学の研究者が中国のWebのセキュリティ状況を調査した論文をインターネットで公開した。そこに描かれているのは,Web経由の攻撃が想像以上に危険で,広く深く浸透している様だ。日本の研究者も同様に指摘しており,中国だけの問題として片付けられない状況にある。

 公開された論文のタイトルは「悪意あるWebサイトと中国語Webでのアンダーグラウンド経済に関する研究」。この論文で明らかになったのは,Web経由の攻撃が深刻さを増していること,そしてこうした犯罪を助長させる闇市場の存在である。

 Web経由の攻撃では,一般的なWebサイトに罠を仕掛けてマルウエアに感染させる手口の横行が確認された。調査した14万サイト中2149サイト(1.49%)にこうした罠が仕掛けられていた。特筆すべきは,アダルトやギャンブルなど,いかにも危険なサイトだけではなく,スポーツやニュースなどの普通のサイトにも同程度の確率で埋め込まれていた点である。

 しかも使われている攻撃プログラムをウイルス対策ソフトで調べた結果,最も成績が良かったソフトでも36.7%しか検知できなかった。セキュリティ・パッチが提供されていないゼロデイのぜい弱性を悪用するケースも多く,ユーザーには防ぐ手立てがない(表1)。

表1●ブラック・マーケット(闇市場)でのぜい弱性情報販売の実態
色を付けた部分はベンダーからパッチ・プログラムが公開される前に攻撃に使われたケース。パッチが公開されないままで攻撃に利用されているぜい弱性もある。西暦を明記していない日付はすべて2007年。
表1●ブラック・マーケット(闇市場)でのぜい弱性情報販売の実態

 実は日本でもサイバークリーンセンターなどが同様の調査を行っている。これによれば,Web経由で感染するマルウエア1921種類のうち,1325種類がウイルス対策ソフトで検知できなかったという。調査に協力したラック研究開発本部先端技術開発部の新井悠部長は「攻撃は明らかにWeb経由にシフトしている。最近マルウエアの感染の報告が少ないが,脅威が減ったのではなく見つからなくなっただけではないか」と分析する。

悪のツール販売が商売に

 こうした攻撃を助長しているのが,闇市場の存在である。論文によると,Web経由の攻撃のためのツールやサービスが売買されており,攻撃者は高度な知識を持たなくても手軽にマルウエア感染サイトを構築できる。「ウイルス作者」,「悪意あるWeb管理者/クラッカー」が掲示板サービスを使って情報やソフトウエアを売買しているという。

 ウイルス作者は,自分で発見した未知のぜい弱性や既に公表されている情報から攻撃コードを作成する者。マルウエア単体,またはマルウエア生成ソフトを販売しているという。ゼロデイのぜい弱性を攻撃するツール/マルウエアは数十万円だという。

 悪意あるWeb管理者/クラッカーは罠を仕掛けられるWebサーバーを攻撃者に提供する。自身で運用しているWebサーバーやハッキングで支配下に置いたWebサーバーに不正なHTMLタグを埋め込み,攻撃者のサイトにユーザーを誘導するのだ。料金は誘導されたユーザー数に応じて決まり,1万IPアドレスからのアクセスで600~900円程度だという。