PCセキュリティーを守る！――ビジネスの新常識 第8回

見ただけで感染！　“Web改ざんの恐怖”を正しく理解

狡猾な手段は日に日にエスカレートしている!?

　この不正なIFRAMEは「width」が1、「height」が2に設定されている。一目見ただけでは分からない小さな領域を設定することでユーザーには気づきにくいが、システム上では不正なサイトにアクセスさせている。

　極端に言えば、両方とも0に設定してもユーザーを不正なサイトにアクセスさせることは可能である（この場合、画面上には不正サイトの痕跡が一切出ないが、不正サイトにアクセスさせらたことになる）。このIFRAMEによる誘導は、HTML内に1行不正な命令文を追加するだけなので、サイト管理者も自身のサイトのHTMLの内容をこまめにチェックしていない限り、気づきにくいという面がある。

　またIFRAME以外の手段として、別ウインドウ（ポップアップ）を開く手法では、不正なサイトにアクセスするウインドウの位置を表示画面領域の外に設定する方法がある（図6）。この方法だと、画面下部のタスクバーに不正なサイトを開いたウィンドウが表示されるが、Windows XP以降のOSではInternet Explorer（IE）を複数表示すると1つにまとめて表示する機能がついているため、設定によっては気づかないユーザーも多い（図7）。

【図6】　不正なサイトの画面位置を画面外に設定するケース

【図7】　複数のIEが1つにまとめて表示される機能の一例（赤線部分）

本当の脅威は誰にも気づかせないこと！

　こうしたWebサイトの改ざんによる不正なWebサイトへの誘導方法はほかにもあるが、ユーザー自身には視覚的に感染が分かりづらいという点が共通する。こうしたWebサイトの改ざんが多くのインターネットユーザーにとって脅威なのは、「毎日のように見ている普通のWebサイトが、ある日突然、不正プログラム感染の入り口になってしまう」ということだ。

　「不審なサイトにはアクセスしない」という基本的な対策が叫ばれて久しいが、普通のWebサイトが突然改ざんされてしまったのでは、こうした対策にも実効性がない。Webサイトの管理者には、改ざんされないようなシステムのセキュリティ対策を施す努力が求められるが、ユーザー側には為す術はないのだろうか？

　現在、多くのセキュリティソフトベンダーが共通して取り組んでいるのは、「どのようにしてWebサイト経由の不正プログラム感染を防ぐか」という点である。各社が採用している技術はそれぞれ異なるが、ここではトレンドマイクロの「Webレピュテーション技術」を紹介しよう。

　レピュテーション（Reputation）は日本語に訳すと「評判」という意味になるが、Webレピュテーションでもアクセス先のWebサイトの評判をトレンドマイクロのデータベースに問い合わせて、危険なWebサイトであればアクセスを事前にブロックする（図8）。

【図8】　ウイルスバスター2010でのWebサイトブロック画面

　Webレピュテーションで用いる指標の代表的なものに、サイトドメインの登録年月日がある。通常、不正なWebサイトは一旦公開したらそのまま同じドメインを使い続けることは少なく、すぐに場所をほかに移す傾向がある。

　こうした傾向から、「ドメインの登録年月日が極端に新しいものは、不正サイトの可能性が高い」といった判断をするのである。もちろんこのほかにもさまざまな指標を組み合わせており、サイト内に置かれたプログラムや過去に迷惑メール（スパムメール）を配信していなかったかなども確認して、総合的にWebサイトの危険度が点数付けられる（図9）。

【図9】　Webレピュテーションの仕組み（一例）

　このように現在のセキュリティソフトには、PC内の不正プログラムを検知・駆除する以外にも、「侵入経路」自体をブロックする機能を搭載した製品もある。自分のPCにインストールするセキュリティソフトを選ぶ際には、こうした機能がついているかどうかもひとつの基準になるだろう。

ASCII倶楽部

お知らせ