「今年,最大のインシデントは何だったか」――。こう尋ねられて,「SQLインジェクション」と答える方は少なくないだろう。3月に多発したWebページ改ざんの手口だ。特徴的なのが,攻撃者の最終的な狙いがエンドユーザーを悪質サイトに誘導することにある点。ユーザーは,ごく普通にWebアクセスしているだけで,ダウンローダ型の不正プログラムを送り込まれ,最後にはボットを仕込まれる。この手の誘導型攻撃を狙ったSQLインジェクション攻撃は,3月以降はほぼ減ることなく続き,6月ころからはさらに件数が増えた。
日本を脅かしたインシデントはこれだけではない。USBメモリーを媒体として感染を広げる「USBウイルス」,DNSサーバーに偽情報をキャッシュさせる「DNSキャッシュ・ポイズニング」,ほとんどのブラウザにぜい弱性が潜む「クリックジャッキング」なども世間を騒がせた。どの攻撃も,ユーザーに気付かせることなく巧妙に仕掛けられる。
2009年には,さらに磨きをかけた攻撃が増えるはず。防御するには,攻撃の手口を知り,少なくとも今できる対策をきっちり施しておく必要がある。2008年に日本のユーザーを脅かしたインシデントを振り返り,今後の攻撃やウイルスに備えよう。
突如多発したWebページ改ざん狙いは明らかに日本
相次ぐWeb改ざんがなくならない理由
手に負えない連鎖型攻撃の仕組み
標的型攻撃の危険が潜むUSBウイルス
Flash Player狙ったゼロデイ攻撃発覚
悪質なFlashがクリップボードを狙う
高度化するPDFウイルスに備えよう
危険度増すDNS乗っ取り攻撃
正体が見えた「クリックジャッキング」
