「信頼できないWebサイトには極力アクセスしない」ことを実践すれば、ネット利用の安全性は確実に高まる。ネットには、ウイルスをばらまいたり、詐欺を働こうとしたりする危ないサイトが驚くほどたくさんあるのだ。特に、最近はWeb経由で侵入するコンピューターウイルス(以下、ウイルス)が増えている。「安全だと確信できない場所に近づかない」のは、とても賢明な方法である。
ところが、セキュリティの基本ともいえるこの対策の効果が最近は低下している。というのも、2007年は有名企業などが運営する正規のサイトに、ウイルスの“わな”が仕掛けられる事件が頻発したのだ。まず、攻撃者は正規のサイトに不正侵入し、Webページを改ざん。攻撃者のサイトに置かれたウイルスファイルを読み込むようなコードを挿入する。これが「わな」となる。
わなが仕掛けられたページにユーザーがアクセスすると、ウイルスファイルがダウンロードされる。そのファイルにはOSやアプリケーションの脆弱(ぜいじゃく)性を悪用する細工が施されているので、パソコンによっては、アクセスするだけでウイルスに感染してしまう。
こういったウイルス攻撃は、世界中で発生した。大規模なものでは、例えば2007年6月中旬、イタリアにおいて、数百あるいは数千に及ぶ正規のサイトが不正侵入されて、わなが仕掛けられた。あるセキュリティベンダーによると、このときには7000人ほどのユーザーがウイルスに感染したという。
日本も例外ではない。表面化したものだけでも、有名な国内サイトを狙った攻撃が数件確認されている。専門家の多くは、「国内でも、『いつもアクセスしていたサイトが、ある日を境に危険なサイトに変わる』といったことが十分起こり得る状況になっている」と警告する。そして、この傾向は2008年も続くと予想する。
複数の対策を組み合わせる
では、ユーザーはどうすればいいのか。「一つの対策に頼らない」という心構えが、今までよりも重要になると筆者は考える。例えば、「信頼できないWebサイトにはアクセスしない」といった対策はとても有効だが、それだけに頼るのは危険だ。攻撃者に裏をかかれる恐れがある。
また、Web以外から侵入するウイルスも“健在”であることを忘れてはいけない。昔ながらのメールはもちろん、USBメモリーなどのメディア経由も増えている。企業/組織では、ウイルスに感染したノートパソコンをLANに接続することでまん延する「ウイルスの持ち込み」も大きな問題だ。
こういった話で思い出すのは、2001年ごろ、ある企業で聞いたエピソード。当時はメールで感染を広げるウイルスが全盛だった。そこでその企業では、メールのウイルス対策だけで十分と考えて、メールサーバー(メールゲートウエイ)用のウイルス対策製品だけを導入。クライアントには導入しなかった。その結果、社員の「ウイルスの持ち込み」が原因で、比較的大規模なウイルス感染被害に遭ったのだ。
Web経由のウイルスが増えているのは確かだが、「信頼できないWebサイトにはアクセスしない」だけでは不十分。「覚えのないメールは開かない」「配布元や作者が不明のファイルは実行しない」という心構えも重要だ。「利用しているソフトウエアの脆弱性を修正する(修正プログラムなどを適用する)」「セキュリティ対策ソフト(ウイルス対策ソフト)を使用する」ことも不可欠だ。
対策ソフトへの過信は禁物
もちろん、どれか一つを過信することは禁物。特に過信されがちなのが対策ソフトである。「対策ソフトが警告しなかったから大丈夫」と判断するユーザーは少なくない。だが、「対策ソフトが警告しなかった」ことが意味するのは、「対策ソフトはウイルスと判断しなかった」ことだけで、「そのファイルがウイルスではない」ことは保証しない。
例えば、日経パソコンでは2007年10月、国内の専門家の協力を得て、8種類の対策ソフトの“実力診断”を実施。専門家が収集した「独自サンプル」ウイルスを使ったテストでは、100%検出できた対策ソフトはほとんどなかった(関連記事)。
また、セキュリティベンダーのラックが2007年9月に実施した調査では、あるブラックリストに掲載されていた「怪しいWebサイト」10万サイトで収集したウイルスのおよそ7割が検出不能だったという。
最後にもう一つ。「一つの対策に頼らない」ことに併せて、「感染した場合に備える」ことも重要だ。ウイルス攻撃が巧妙化している現状では、どれだけ頑張っても、感染の可能性をゼロにはできないためだ。個人ユーザーだったら、大事なデータのバックアップは不可欠。企業/組織なら、データのバックアップに加え、ウイルス対応の体制作りや、感染した場合を想定したシミュレーション(訓練)などが必要だろう。
