「危害を加えるとは思えないサイトでマルウエアに感染する」――。ラックの研究開発本部先端技術開発部の新井悠部長は,12月19日に同社が開催したセミナーで,インターネット上で現在進行しつつある危機を警告した。
こうした傾向が出てきたのは,これまでの対策がある程度効果を上げてきたからだ。まず,米マイクロソフトがWindows XP Service Pack 2を配布し,パソコンのパーソナル・ファイアウォールが初期状態で動作するようになった。この結果,「OS上で動作するサービスを攻撃し,ネットワーク経由で感染するマルウエアが有効に動作しなくなった」(新井部長)。一方で,ウイルス対策ソフト・ベンダーがURLフィルタ機能を強化し,危険なWebサイトへのアクセスをブロックする機能を組み込み始めた。そこで攻撃者たちは,一般のWebサイトを狙い始めたのだという。
具体的には,一般のWebサイトを手当たり次第に攻撃し,Webアプリケーションのぜい弱性を突いて,危険なサイトに誘導するHTMLタグやJavaScriptをWebページに組み込む。こうしたタグの埋め込みは自動化されているという。具体的には,検索エンジンでぜい弱なサイトを見つけ出し,ぜい弱性のあるサイトにアクセスしてタグを埋め込むといった動作を自動で行う。日本でも11月にラックの監視システムで,Webサイトのぜい弱性を狙う攻撃が観察されている。
こうした攻撃によって埋め込まれたHTMLタグやJavaScriptは,Webページの表示に影響を与えない。このためユーザーが気付かないうちに背後で,危険なJavaScriptが実行され,WebブラウザやWebブラウザと連携して動作するプログラムのぜい弱性を突いてパソコンに侵入する。
さらに衝撃的なのは,Web経由で感染するマルウエアがウイルス対策ソフトで検知できないことだ。総務省と経済産業省が共同で運営しているサイバークリーンセンターが調査したところ,発見した1921種類のうち1325種類が未知のものだったという。逆に,OSのサービスのぜい弱性を狙って感染するマルウエアは,1万26種類のうち未知のものは639種類しかなかった。「この傾向からも攻撃者の狙いがWeb経由に移っていることが見て取れる」(新井部長) 。
一般のWebサイトから攻撃を受ける状況において,ユーザーが取れる対策は「本当に信用できるサイトでしかJavaScriptを使わないこと」(新井部長)だという。FireFoxのアドオン・プログラムである「NoScript」を活用することが考えられる。また,サイトの管理者は,Webサーバー・アプリケーションにぜい弱性を残さない対策を施す必要があることも強調した。
