ビジネスお役立ち情報 > ITトレンドWatch

ITトレンドWatchITトレンドWatch 私たちの生活の様々な分野で活用されるITについて最新情報をお届けします。

ITトレンドWatch のトップへ

Webサイトを見るだけで被害が起こることもある?!
インターネットの脅威を正しく知って防衛する

現在インターネット上には膨大なWebサイトが存在し、あなたも仕事や趣味で多くのWebページを毎日見ていることだろう。しかし残念なことに、そこへ攻撃を行う存在がある。どういった攻撃が仕込まれ、どうすればそれらの攻撃の被害を受けずに済むのだろうか?

サイトの運営者やサーバをだまして攻撃を行う
SQLインジェクションやクロスサイトスクリプティング

セキュリティソフトウェア開発大手のトレンドマイクロは、2008年7月、日本を含む世界中で「SQLインジェクション」によるWebサイト改ざん攻撃が発生していると警告した。このSQLインジェクションとは、Webサイトのフォームなどに特別な文字列を入力して送信し、それによって入力値を処理するプログラムをだまし、不正に情報の盗み出しを行ったり、または正当なWebサイトに不正なタグを埋め込む攻撃をいう。これによって改ざんされたWebサイトにアクセスしたユーザは、不正なWebサイトに誘導されたり、ウイルス感染させられるなどの危険が発生するというものだ。

改ざんされたWebサイトにアクセスしたユーザは、知らない間に悪質な不正プログラムを仕込まれる被害を受けるだけではなく、そこからさらに第三者へ攻撃する踏み台としても利用される恐れがある。こうなった場合さらに状況は深刻、そして複雑になっていく。トレンドマイクロによれば、これまでに偽のセキュリティソフト購入を促し、クレジットカード番号などの重要な個人情報を詐取しようとする不正プログラムなどが確認されている。攻撃者によって頻繁にプログラムが入れ替えられているらしく、全世界で最大21万、日本国内においても約1万のWebページで疑わしい記述を確認している模様だ。

SQLインジェクションは、データベースと連動したWebサイトで情報の問い合わせや操作を行う際、プログラムをだますSQL文の断片を注入(injection)することにより攻撃が成立する。こうしたデータベースは、検索サイトやオンラインショッピングを支える重要なシステムとして非常に多く稼働しており、一般に直接目にすることはないが、SQLインジェクションは広く大きな影響を与える深刻な問題となる。

Webサイトへの攻撃として「クロスサイトスクリプティング」も大きな問題となっている。クロスサイトスクリプティングとは、アンケート・掲示板・サイト内検索など、Webサイト訪問者が入力した内容を画面に表示するプログラムが、悪意のあるコードを訪問者のブラウザに送ってしまう脆弱性のことをいう。本来であれば問題のないWebサイトだが、攻撃者が入力フォームなどを通して不正なスクリプトコードを送り、その内容がページに埋め込まれると、次にページを閲覧したユーザのパソコンで悪意のあるプログラムが実行されることになる。多くのフィッシング詐欺が、この方法を利用している。

悪意のあるプログラムを埋め込んで実行させるほかに、ユーザの認識のないまま他所のWebサイトのスクリプトを呼び出して実行するよう仕向けることも可能であるため、サイトを跨いだ(cross)スクリプト攻撃の意味で「クロスサイトスクリプティング」という名前が付けられた。

Webサービス大手のYahoo! Mailのリンク先でも、このクロスサイトスクリプティングが2007年6月に確認された。メールに表示されたURLが、一見Yahoo!のサイトにアクセスするリンクに見えるが、実際には攻撃者の指定する攻撃用サーバにアクセスする仕掛けになっていたのだ。同様の手口はマイクロソフトのHotmailなどでも確認されたが、現在はこの種の脆弱性は修正されている。

SQLインジェクションにしてもクロスサイトスクリプティングにしても、残念ながら性悪説の立場で、サービスを構築するプログラム側に適切なチェック機構を搭載することが何よりも対策として求められる。

あなたの見ているそのWebページ、本当に本物?
利用者を巧妙にだまそうとするマルウェアやフィッシング

コンピュータウイルスといえば、メールの添付ファイルで送られてきたり、フロッピーディスクで感染するというのが一昔前までの常識だったが、最近は事情が大きく異なってきている。インターネットに接続するだけでも感染する“Blasterタイプ”のウイルスが登場し、Webサイトを見て回るだけで攻撃を受ける悪質なタイプが増えているのだ。

その攻撃の1つに「ドライブバイダウンロード」という手口がある。これは、Webサイトを見ただけでコンピュータウイルスやワーム、スパイウェアなどの「マルウェア(悪意のこもったソフトウェア)」に感染させるというものだ。攻撃者はセキュリティの甘いWebサーバなどに不正アクセスし、感染を引き起こすプログラムをWebページに埋め込み、ユーザがページを閲覧したときに外部に置かれたマルウェアを侵入させる。

攻撃を受けた例としては、米国のアメリカンフットボール優勝決定戦「スーパーボウル」が開催されたドルフィンスタジアムの公式サイトが改ざんされて悪質なコードが埋め込まれたケースや、無料ホームページ作成サービス「魔法のiらんど」のトップページが改ざんされ、オンラインゲームのIDを盗むマルウェアが埋め込まれたケースなどがある。

また、マルウェアを仕込むのではなく、DNSの設定が変更される「ファーミング」攻撃も発生している。やはり悪質なWebサイトやプログラムを参照することによって、インターネット接続を制御するルータの設定が勝手に変更され、攻撃者のサイトへと誘導されてしまうというものだ。このファーミングはメールとともに仕掛けられることが多い。あるケースでは、スパムメールによって大量のファーミング攻撃が発信され、特定モデルのルータのDNS設定が勝手に変更されてしまった。以後、そのモデムのユーザがある大手銀行サイトなどを訪れようとすると攻撃者のサイトに誘導され、そのまま偽サイトと気づかずに入力した口座情報などが盗まれてしまうという巧妙な手口だった。

ファーミングはフィッシングの一種とされ、犯罪者が金融機関やショッピングサイトにそっくりの偽サイトにユーザを誘い込み、カード番号やパスワードなどを入力させて詐取してしまうのだ。

インターネット上における攻撃と被害について基本的な仕組み

インターネットを通じた攻撃には
やはりインターネットを通じた防衛を

このようなWebサイトを見るだけでも受ける悪質な攻撃から自分のパソコンを守るために必要な対策は、しかしそれほど難しいことではない。現在のネット社会で常識とされる程度の、最低限のセキュリティ対策を実行していけばほぼ十分である。

  1. セキュリティ対策ソフトをインストールする
    まずは市販のセキュリティ対策ソフトをインストールしよう。また、インストールするだけでなく、常に最新の定義ファイルに更新しておく必要もある。最近のものではインターネットを通じた自動更新設定になっているため、日常で特に気を使うことはないが、月に1度くらいは開発元のWebサイトで最新のセキュリティ情報や、ソフトのバージョンが配布されていないかなどを確認しておくことが重要にある。また、パソコンにプリインストールされているセキュリティ対策ソフトは機能が限定されている場合もあるので、試用期限の有効な内に製品版へアップグレードすることを忘れないようにしよう。
  2. Windowsアップデートを実行する(自動設定する)
    セキュリティ対策ソフトをインストールしていても、セキュリティホールのあるソフトウェアを使用していると、対策の漏れが起こりウイルスに感染してしまうことがある。例えば、メールの添付ファイルの自動実行を許してしまうメーラーのセキュリティホールは、監視の目をすり抜けてウイルス感染被害を著しく増大させる可能性がある。こうしたことを防ぐため、重要なソフトウェアであるOSのWindowsアップデートはもちろんのこと、使用しているソフトウェアのアップデート情報は定期的に確認し、最新のセキュリティパッチをあてておくことが肝要である。
  3. 疑わしいファイルはむやみにダウンロードしない
    メール本文に関係なさそうな添付ファイル、ダウンロードした覚えがないファイルなどは、ユーザに被害を与えるプログラムが潜んでいる可能性が高い。身に覚えがないファイルの開封や、信頼できない場所からのダウンロードはできるだけ避けたい。特に、国際電話やダイヤルQ2に接続するプログラムは古典的だがセキュリティ対策ソフトで発見できないものある。万全を期すなら、ダウンロードしたファイルは使用する前に必ずウイルス検査を行うようにしたい。

こうした基本の対策だけで十分な効果を出すことができる。逆にいえば、毎日の地道な心がけが安全なパソコン環境を生み出すともいえる。もしウイルス感染の可能性が考えられる次のような兆候があれば、これを見逃さず、セキュリティ対策ソフトでウイルス検査・除去を行うようにしよう。感染がひどく、復旧が難しい場合には、インターネット環境を遮断して(有線ならケーブルを抜く・無線なら機能をオフにする)それ以上の攻撃の侵入と周辺のパソコンへの影響を断ってから、再度の復旧を試みるかサポートへ対応を依頼しよう。

  • システムやアプリケーションが頻繁に止まる。
  • システムがなかなか起動しない。
  • ファイルが勝手になくなっている。
  • 見知らぬファイルが作成されている。
  • タスクバーやデスクトップに妙なアイコンができる。
  • ユーザの意図しないメール送信が行われる。
  • HDDやインターネットへ頻繁にアクセスする。

(掲載:2008年12月)

関連リンク

企業のITセキュリティ講座