ネットワークの脅威と対策を一から学ぼう

拡がるWebの脅威と対策を理解しよう

2009年08月27日 06時00分更新

文● 水岡祥二

Webを経由した不正プログラム

　Webは以前のようにHTMLや画像ファイルなど静的なコンテンツで提供されることが少なくなっている。Webサーバ側で動的にページを生成したり、なんらかのスクリプトやプログラムがページ上で動いているわけだ。その中には当然ながら不正なプログラムもある。Webブラウザの脆弱性を利用することで、自動実行されたり、勝手にダウンロードされたり、といった事態は枚挙にいとまがない。

　例としては、ページにアクセスしただけで強制的に開かれる「ポップアップ広告」や、Webブラウザをユーザーから制御できないようにさせる「ブラウザクラッシャー」などだ。こうした不正プログラムは、Webブラウザの機能でチェックにしたり、セキュリティ対策ソフトで実行を停止させることができる。また、ソフトウェアやOSの脆弱性を狙うため、パッチの適用は必須となっている。

フィッシングとファーミング

　昨今、猛威を振るっている脅威に「フィッシング」と「ファーミング」が挙げられる。フィッシング（phishing）とは、真のWebページを装った偽のWebページへ顧客を誘導し、ユーザーIDやパスワード、クレジットカード番号を盗む手口である。釣りの「Fishing」をもじったともいわれる。

　たとえば、犯罪者は銀行やカード会社などの金融機関からの連絡を装ったメールをユーザーに送付する。メール文中には内容はキャンペーン申し込みやセキュリティ強化のための確認などと称し、Webページへのリンクが埋め込まれている。ユーザーはその内容を信じ込み、リンクをクリックしてしまう。

　しかし、クリック先は実は犯罪者が用意しておいたWebページなのである。そして、この偽のWebページ内でユーザーにログインさせることで、ユーザーIDやパスワード、クレジットカード番号を盗み出せる。犯罪者は、ユーザーになりすまし、別の銀行口座に金銭を振り込んだり、お金を借りたりする。これがフィッシングの典型的な例だ（図3）。

図3　言葉巧みにユーザーを詐欺にかけるフィッシング

　フィッシングの手口は年々巧妙になっており、それらしいURLを利用してユーザーを疑いをかけられないようにしたり、場合によってはSSLの証明書を正規で取得して安心させたりする。いわば詐欺の一種で、ソーシャルエンジニアリング^※3的な手法ともいえる。

※3：ソーシャルエンジニアリング　プログラミングなどの「技術」を用いず、人間関係や人・組織の盲点を突くなど、社会的な手法で企業・個人に関するセキュリティ上重要な情報を入手すること。

　一方のファーミング（Pharming）とは、ユーザーが信頼できるWebサーバにアクセスしたはずなのに、実は悪意のあるWebサーバにアクセスされられているというものだ。これにより、ユーザーIDやパスワード、クレジットカード番号などの情報を知らず知らずのうちに渡してしまう手口である。一見するとフィッシングのようだが、メールなどの一本釣りではなく、種をまけば大量に収穫できるということで、農場の「Farming」をもじったともいわれる。正しいアドレスで接続しているのに、異なるサーバに接続しているという点が恐ろしい部分だ。

　ファーミングでは名前解決が悪用される。ユーザーがWebページを閲覧するとき、ほとんどの場合「http://www.asciimw.jp/」のようにURLを利用する。Webブラウザは接続に際して、「www.asciimw.co.jp」のホスト名対応するIPアドレスをドメインに対応したDNSサーバやローカルのHOSTSファイル^※4で調べる。

※4：HOSTSファイル　ホスト名とIPアドレスの対応関係を表わしたファイルでパソコン内部にある。ホスト名からIPアドレスを調べる場合、DNSを用いるのが一般的である。HOSTSファイルはDNSの副次的に利用する。

　しかし、そのIPアドレスは本当に正しいといえるのだろうか。DNSサーバが改ざんされ、偽のWebサーバのIPアドレスに書き換えられていたらどうなるだろう。前述のようにアドレスが正しいのに、接続先が異なるという事態が起こる（図4）。さらに偽の証明機関の証明書がWebブラウザに不正にインストールされる可能性も考えられる。その場合はSSLを用いても、Webブラウザから警告メッセージが表示されなくなる。