ごく普通にWebサイトにアクセスしただけなのに――。信頼していたWebサイトへのアクセスが原因でウイルス感染する例が目立っている。日経コミュニケーションが2008年7月に実施した「企業ネット実態調査」の結果(厳密には中間集計)によると,過去2年の間に社内にウイルスに入り込んだ企業は4割弱に上る。このうちの約4分の1が,Webアクセスによる感染である。
米ウェブセンスによれば,こうした不正コードを含むサイトの75%が正当なWebサイト,つまり改ざんされて不正コードを埋め込まれたサイト。多くは悪質なJavaScriptを使って,ユーザーをウイルスのダウンロード・サイトに誘導する。
いったん感染してしまうと,従来のような単純なウイルス検出・駆除では止められない。攻撃が連鎖型(シーケンシャル)になっているからだ。不正プログラムが勝手に不正サイトに接続し,別の不正プログラムをダウンロードする。こうした動きを繰り返し,パソコン上では複数の不正プログラムが連動して動作するようになる。
恐ろしいのは,このうちの一部が隠れプロセスになっていて,ユーザーが「不審」と考える実行ファイルを削除しても動作が止まらないことだ。表面上は削除できても,隠れプロセスが動作している限り,同じ状態が復元され,機密情報を抜き取られたり,キー入力情報を盗まれたりといった状態が続く。隠れプロセスも複数のプログラムが協調動作し,プロの手を持ってしても簡単には削除できない事態に陥る。隠れプロセスの中にはウイルス対策ソフトの動作を回避する仕組みを持つものもあり,従来型のウイルス対策では歯が立たない。
そもそもWebサイトが不正コードを埋め込まれなければ,気付かずに不正サイトに誘導されるケースは減らせる。しかし多くのWebサイトは稼働中のWebアプリケーションの改修には二の足を踏む。次々にWebアプリケーションの開発を重ねる中ではぜい弱性のチェックが追いつかないケースもある。さらに最近は攻撃の高度化が進み,フォレンジック分析しても不正アクセスの侵入経路が分からないほど巧妙な手口で乗っ取られるケースが増えているという。
結局,エンドユーザーは,自身の手で可能な限りの対策を講じなければならない。攻撃を食い止めるには,攻撃者の管理下にある不正サイトへの接続を遮断するなど,不正コードを社内に持ち込まない策が必要になる。その一つとして重要なのがブラウザの設定である。最も効果が高いと見られているのが,JavaScriptを動作させない設定だ。Webサイトに埋め込んだ不正スクリプトから始まる連鎖型攻撃は,JavaScriptを動かさなければ始まらない。
利便性を考えれば,「JavaScriptを使わない」という選択肢はあり得ない。それでも,ほかの様々な対策に加えて,エンドユーザーがそこまでしなければならないほど,今の攻撃は手を付けられないほどやっかいなものになっている。Security Solution 2008の2日目,「もう攻撃には屈しない~ブラウザの正しい使い方」では,「Webからの脅威」に関する最新情報とブラウザのセキュアな設定・使い方を紹介する。会場に足を運んでいただきたい。
