不正サイトを閲覧しただけで感染する仕組みとは?
ここで、本題の「なぜ不正サイトに誘導された(閲覧した)だけで感染するのか」に話を戻そう。Webサイト経由の感染に関しても、このセキュリティホールが関わっていることが多い。
図3の文書ファイルは迷惑メールに添付されたものだが、Web関連のアプリケーションのセキュリティホールも攻撃対象となっているのである。通常、Webサイト上のファイルをダウンロードや実行を行なうと、図4のようなダイアログボックスが表示される。
【図4】 オンラインスキャンのプログラムをインストールしようとした際のダイアログボックス
ところが、Internet ExplorerやFirefoxといったWebブラウザー、およびAdobe Flash、Adobe Reader(PDF)、QuickTime、Real PlayerといったWeb上の様々なコンテンツで使用されるアプリケーションにセキュリティホールがあると、そこを突いた不正攻撃を受けた場合、ダイアログボックスの表示が出ないまま、勝手にファイルのダウンロードや実行を始めてしまうケースがある(図5)。
【図5】 セキュリティホールを利用した不正プログラムの感染イメージ図
先に挙げたアプリケーション(プラグインやアドオン)は、Webサイトを開くと自動的に起動するように設定されているものが多く、攻撃者はこうした仕組みを悪用して不正なファイルを読み込ませるのだ。
実際、前回紹介した“ガンブラー(Gambler)攻撃”では、誘導された不正なサイトから、ユーザーのPCに存在するセキュリティホールに適合する不正プログラムがダウンロードされるように設定されていたのだからやっかいだ(図6)。
【図6】 ガンブラー攻撃で狙われたセキュリティホール(2009年12月頃)
前半でも触れたように、ソフトウェアは人間が作成している以上、どうしても不具合が発見されてしまう。そこで、不具合を修正するために、ソフトウェアメーカーから定期的に公開・配布されているのが「修正プログラム(修正パッチ)」である。
Windowsユーザーであれば、図7のようなポップアップメッセージを見たことがあるだろう。これは、マイクロソフトが毎月1回(不定期に緊急で配布される場合もある)公開・配布している修正プログラムのインストールを促すメッセージである。また、セキュリティソフトの中には、最新の修正プログラムがインストールされていないと、警告を表示するものもある(図8)。
【図7】 新しい更新を知らせるWindowsのメッセージ
【図8】 修正プログラムがインストールされていないことを警告するセキュリティソフト(ウイルスバスター2010の場合)
しかし、すでに述べたように攻撃者の標的はOSだけでなく、各種アプリケーションもターゲットになっている。一部アプリケーションにはWindowsと同じように、自動的に修正プログラム配布の通知が届く仕組みもあるので、これらが表示されたらOSと同様に、できるだけ早くインストールを行なうべきだ(図9)。
【図9】 Javaのアップデート通知
アプリケーションのセキュリティホール対策で最も難しいのは、自動通知のないアプリケーションへの修正プログラムの適用である。こうしたアプリケーションの中には、メーカーのWebサイトで公開・配布されているもの、アプリケーション起動時のみ修正プログラムが公開されていないかアプリケーションが問合せに行くものなどがある。しかし、自動通知と比較すると、ユーザーが修正プログラムの存在を認知してインストールするまでのタイムラグがどうしても大きくなってしまう。このタイムラグを極力小さくするためには、セキュリティベンダーのWebサイトや各社のニュース記事などで定期的にセキュリティホール関連のニュースをチェックすることが肝要だろう(図10)。
【図10】 セキュリティホールの修正プログラム公開を伝える記事(ASCII.jpより)
ニュースサイトの定期的なチェックは、最新情報を得るためだけではなく、「正しい情報」「信頼できるニュースソース」を確認するという意味合いもある。連載第5回のスパムメールの回で触れたように、不正プログラムが話題になると、「セキュリティホールの修正プログラム」を偽装した別の不正プログラムが流通することもあるためだ。
◆
前回も触れたが、ガンブラー攻撃などのWebサイト経由の攻撃を防ぐには、Webレピュテーション(不正なファイルや不正なサイトへのリンクの有無によるWebサイトの評価手法)などの不正なサイトへのアクセスをブロックする機能を持ったセキュリティソフトを、各クライアントPCに導入しておくことも有効な対策である。しかし、セキュリティだけで100%の対策はあり得ない。セキュリティソフト導入のほかにも、発見されたセキュリティホールの修正を“すぐに行なう”ことで、感染リスクを可能な限り低くすることができるのである。
修正プログラムのインストールは、その重要性を知りながらもついつい後回しにしてしまう方が多いだろう。特に社内ネットワークでは、システム管理者から適宜メールなどで修正プログラムのインストールを促す通知が届くと思うが、日々の仕事の忙しさから忘れてしまうこともあるだろう。本記事を、自身のセキュリティホール対策を見直すきっかけにしていただければありがたい。
著者紹介:トレンドマイクロ株式会社 上級セキュリティエキスパート
黒木 直樹(くろき なおき)
プロダクトマーケティングを経て、製品開発部の部長代行、コンサルティングSEグループ兼インテグレーショングループ部長を歴任。2009年より戦略企画室部長として国内外のプロジェクトを推進した後、2010年にコンサルティングSE部部長となり、再び最前線の技術部隊を率いて営業活動を支援している。また、セミナーでの講演などを通じて幅広いユーザー層へセキュリティー啓発活動も継続的に行なっている。
この連載の記事
-
第13回
ビジネス
巧妙化した偽セキュリティソフトにご用心! -
第12回
ビジネス
Windows 2000だけじゃない! サポート切れOSは脅威のもと -
第11回
ビジネス
ケータイも安心できない!? モバイル・セキュリティ最新事情 -
第10回
ビジネス
新人必見!慣れた今ごろが危険 情報漏洩の落とし穴 -
第8回
ビジネス
見ただけで感染! “Web改ざんの恐怖”を正しく理解 -
第7回
ビジネス
納得!企業向けと個人向け セキュリティー製品の違いとは? -
第6回
ビジネス
トレンドマイクロ“リージョンラボ” その実態を見た -
第5回
ビジネス
毎朝の憂鬱!スパムメールの手口と脅威、その対策まで -
第4回
ビジネス
なぜ止まらない? ファイル共有ソフトでの情報漏洩 -
第3回
ビジネス
すわっ PCに不正プログラムがいるかも!? どう確認する? - この連載の一覧へ
