攻撃側は最も弱い場所を突く。2009年のセキュリティ関連ニュース・ランキングでは、ユーザーがこれまで“信じていた”Webサイトを狙った攻撃を報じる記事が上位に名を連ねた。目新しいところでは、Webサービスのパスワード流出や攻撃側のコンピューティング・リソースの増大を暗示する記事などがランクインした。
2位と3位に入ったのは、Webサイトのぜい弱性を突き悪意あるJavaScriptをクライアントで実行させる「Webウイルス」に関するニュース(関連記事1、関連記事2)。JavaScriptだけでは大した活動はできないが、さらに別のぜい弱性を突くファイルをダウンロードさせるなどしてウイルス本体を仕込む通称「Gumblar」が猛威を奮った。Webサイト改ざんはWebウイルスを仕込むだけで、その見た目は普段と変わらない。
信頼あるサイトが出す警告に翻弄される事件もあった。日頃からその検索結果のもっともらしさで定評があるGoogle検索で、約40分にわたりすべての検索結果に「このサイトはコンピュータに損害を与える可能性があります」という注記が付いた(関連記事)。悪意のあるサイトをフィルタリングするルール設定で、Google側が人為的ミスから「/」(スラッシュ)を設定したためだ。当然スラッシュはどのURLにも含まれるため、全世界ですべての検索結果に影響が出てしまった。
20位のSkypeを狙う盗聴ウイルスは、通話の秘匿性が売りだったSkypeの信用を少なからず揺るがした(関連記事)。盗聴の仕組み自体は、復号後の音声データを盗聴するという至ってシンプルなもの。通信路は最終的な出口まで暗号化・認証できなければ信頼できないという原則は忘れないようにしたい。
本物そっくりの偽サイトと偽キップ
なじみあるアプリケーションやWebサイトを騙り、個人情報などをかすめ取る「偽ソフト」や「偽サイト」。2009年はWindows 7とFlash Playerがそのえじきとなった。Windows 7製品候補版のインストーラにウイルスを仕込み、別のウイルスを次々ダウンロードしてPCを乗っ取ろうとする偽ソフトが出現(関連記事)。また米Adobe SystemsによるFlash Player正規配布サイトそっくりの偽サイトを用意し、Flash Playerのインストーラを擬したウイルスを動画をエサに実行させようとした(関連記事)。
偽ソフトと偽サイトは、悪意のあるサイトにいかにアクセスさせるかで毎年“新手口”が出る。2009年でITpro読者の目を引いたのは、10位に入った「新手口!駐車違反の警告ビラでウイルスに感染させる」という手法である。ビラに書かれたURLにアクセスすると、いつの間にかウイルスを仕込まれ、「解除用に有償の偽ソフトが必要」としてクレジットカード番号を入力させようとする。手間の割に得るものが少ない珍種と言えるが、URLを直接手入力させる手法としてはよくできている。
攻撃を報じるニュースが上位にランクインする中で、対策側の話題として気を吐いたのがマイクロソフトの無料ウイルス対策ソフト「Security Essentials」日本語版の登場を報じたニュース(関連記事)。広告表示やユーザー登録が不要で手軽にインストールできるのが特徴で、機能は最小限ながら人気を集め5位にランクインした。
Windows開発用ライブラリ「ATL」のぜい弱性
新傾向ではないものの、その影響範囲の大きさから1位に入ったのは、Windowsアプリケーション開発者なら背筋が凍るような思いをしたはずのぜい弱性の記事。開発ツール「Visual Studio」のライブラリ「Active Template Library(ATL)」にセキュリティ・ホールが発覚。ATLはVisual C++による開発を省力化するライブラリで、影響範囲はMicrosoft製品だけでなく、Visual Studioで開発されたサードパーティのソフトウエアすべてとケタ違いに広い。「過去に類を見ないほど“怖い”脆弱性、MSがパッチを緊急リリース」というタイトルにふさわしいインシデントだった。同時にInternet Explorerの修正パッチが出たことで大きな被害は出ていないのは不幸中の幸いと言えるだろう。
Windowsのぜい弱性を突く類の一般的な攻撃としては、2008年11月頃に出現した「Conficker」ワームが注目を集めた(関連記事)。管理共有からUSBフラッシュ・メモリーなどのリムーバブル・メディアにまで幅広い感染活動を試みる“派手”なワームである。自動生成された亜種をダウンロードするダウンローダとしての機能も持ち、Confickerは未だにセキュリティ対策ソフトによる検知数の上位に顔を見せる。15位に入った「感染のたびに姿を変えるウイルス」である「VIRUX」も、感染を広げる際に暗号化でコードを変え感染場所も変える(関連記事)。2010年のいたちごっこを思うと頭が痛い。
攻撃側も使うクラウド・コンピューティング
2010年を占うとすれば、やはりキーワードは「クラウド」だろう。膨大な計算リソースを持つクラウド・コンピューティング・サービスを、暗号解読や攻撃元として活用するクラッカーも出始めた。18位には200台のプレイステーション3でハッシュ関数「MD5」ベースにデジタル署名の偽造に成功したニュースがランクイン(関連記事)。既にハッシュ関数はより偽造が難しいSHA-2への移行が進んでいるとはいえ、クラウドの悪用で偽造側のコンピューティング・リソースは飛躍的に向上した。利用者としてクラウド・リソースの力を実感する傍らで、その悪用が生むセキュリティぜい弱性に気を払う。クラウド事業者のセキュリティ対策に期待したいところだ。