セキュリティめがね 第12回　怪しくなくても怪しい時代、相次ぐ正規サイトの乗っ取りや改ざん

「怪しい場所には近づいてはいけませんよ」

　子どもの頃、こんな注意をされた覚えはありませんか。同じように、インターネットの世界では、「怪しいサイトには近づいてはならない」と警告を受けたことがあるのではないでしょうか。

　「怪しいサイト」とは、アダルトサイトやギャンブルサイトのように、「見るからに怪しく、いかがわしいサイト」のことです。多くの場合、ウイルスに感染させたり、個人情報を盗み出したりするような悪質なサイトは、見た目も怪しいものでした。

　ところが、時代は変わりました。

　最近では、正規のサイト、つまり有名な企業や政府機関など、一般的に「信頼できる」はずのサイトが改ざんされ、そこにアクセスしただけでウイルスに感染してしまうケースが増えています。見た目が怪しい人だけを疑っていればよかった時代は、終わりを告げたのです。

　半年間にわたって連載してきた「セキュリティめがね」最終回の今回は、このような正規サイトの改ざんによる脅威、その背景と実態、そして対処方法を紹介し、セキュリティを守るための視点を考えます。

■正規サイト改ざんの脅威

　米Websense社が発表した2008年上半期のセキュリティ動向によると、ウィルス配布サイトの75％が、本来は「正規サイト」だったそうです。

※（参考）
「悪質サイト」の75％は正規サイトが改ざんされたものとの調査結果

　米Finjan社の調査では、過去に米国でウイルス配布サイトにされてしまった正規サイトとして、自治体、大学、新聞社、飲料メーカーなどが挙げられています。
　いずれも、本来なら信頼できるはずの組織や、企業ばかりだということが分かるでしょう。

■脅威の背景と実態

　なぜWebサイトが狙われるようになったのでしょう。

セキュリティかるたの「怪しいと感じたメールは開かない」にあるように、電子メール経由の感染に対して、一般ユーザーの安全意識が高まり、添付されたファイルを不用意に開く人が減ってきていることが、理由として考えられます。

　警戒心を持たれやすい電子メールに添付したファイルを開かせるよりも、Webページにアクセスさせる方が、今の時代は簡単なのです。

F-Secure社の調査によれば、ウイルスなどのマルウエアの感染経路は、電子メールよりもWeb経由の方が増加しているそうです。

※（参考）
マルウエアの感染経路がメール添付からWebサイト誘導にシフトとの報告

■正規サイトの改ざんは「見えない化」している

　正規サイトによるウイルス感染は、本連載の第7回で紹介したように、静かに、そして気づかれないように実行されます。

　まず攻撃者は、正規サイトに存在する何らかの脆弱性を悪用して、Web ページを改ざんし、Web ブラウザに表示されない、見えない「フレーム」を挿入します。これにより、ユーザーが当該ページにアクセスしても、ブラウザの表示上では改ざんされているようには見えません。

　挿入された見えないフレームには、別のサイトに設置されたウイルス本体をダウンロードする URL（およびスクリプト）が記載されます。これにより、アクセスしてきたブラウザなどの脆弱性を悪用して、ウイルスを自動的にダウンロードさせ感染させるのです。

　ユーザーが、「自分は怪しいサイトにはアクセスしていない、正規サイトにしかアクセスしていない」と思っていて、何ら異常が見られなければ、より一層、ウイルス感染の発覚を遅らせることができます。だから、正規サイトの改ざんの多くは「見えない」方法で行われるのです。

■脅威への対処方法

　このようなウイルス感染は、どのようにすれば防げるのでしょうか?

　まず、基本的なことですが、ウイルス対策ソフトをインストールし、最新の状態に保つことが重要です。

　最近のウイルス対策ソフトは、Web経由でのウイルス感染にも対応しているものが多いようですが、実際に対応しているかどうかは、使用しているソフトのマニュアルなどを参照してください。

　しかし、ウイルス対策ソフトさえあれば安心、というわけではありません。

　多くの場合、ウイルスを勝手にダウンロードして感染させる際には、アクセスしてきたWebブラウザや、QuickTimeなどのストリーミング動画再生ソフトウェアの脆弱性が悪用されています。しかも、パッチ公開済みの脆弱性が悪用されることが多いことから、最善の対処方法は、使用しているOSおよびソフトウェアのすべてを常に最新の状態に「アップデート」しておくことだといえます。

　以上の事項は、昔から言われている「基本的な対策」そのものです。このことからも、いかに「基本が大事」であるかが分かるのではないでしょうか。また、当情報セキュリティブログのようなサイトを見て、日頃からセキュリティに関する情報を積極的に集めることも重要です。

■インターネットでは、ニセ物と本物に差がない

　そもそも、インターネット犯罪の多くが、フィッシング詐欺などの手法にあるように、精巧なニセ物を作って騙す手法を取っているということを思い出す必要があります。

　デジタルデータは、コピーとオリジナルに差がないため、「偽サイトと本物のサイトを、掲載内容や見た目だけで区別することはできない」と言っていいでしょう。

■セキュリティめがねを曇らせないために

　ここまでで分るように、「怪しい」サイトか否かを、「見た目だけ」で判断するのは、誤った方法だといえるでしょう。インターネットの世界は、これまで私たちが培ってきた安全か危険かを見分ける判断基準が、今までどおり通用するわけではないからです。これまで12回にわたりお届けしてきた連載「セキュリティめがね」では、読者の皆さまと一緒に「インターネットの世界で、安全か危険かを見分ける新しいものの見方」を探ってきました。

　しかし、連載でご紹介したことは、ごく一部に過ぎません。これからも、あなた自身の"セキュリティめがね"を、いつも曇らないように磨いていく必要があります。セキュリティかるたの一番最後の札「ん」は、何事も最初から信じてかからず、疑問の気持ちを常に持つことの重要性を説いています。

　めがねではなく、めがねをかけるあなた自身の疑問を持つ心こそが、セキュリティの出発点です。本連載をもとに、読者の皆さま一人ひとりが、役に立つオリジナルの"セキュリティめがね"を手にされる日がくることを願ってやみません。

セキュリティめがねTOP
第11回　備えあれば憂いなし、個人版BCP（事業継続計画）を作ろうへ