あなたが毎日見ているWebサイトは大丈夫？ 個人情報を狙う“Webベース攻撃”が増加

シマンテックは、最新のセキュリティ動向をまとめたリポートを公開し、Webベースの攻撃で不正に個人情報を入手する手口が増加していることを明らかにした。

[杉本吏，Business Media 誠]

　「2008年半ばから、マルウェアの伝播経路がスパムベースからWebベースに変わってきた」（米Symantec Corporationでシニアマネージャーを務めるケビン・ホーガン氏）。シマンテックは4月16日、最新の「インターネットセキュリティ脅威レポート（ISTR）第XIV号」を公開し、Webブラウザを介したWebベースの攻撃、中でもWebアプリケーションの脆弱性を突いた攻撃が増加していることを明らかにした。

あなたの信頼している「毎日訪れるWebサイト」が危険に

米Symantec Corporationのケビン・ホーガンシニアマネージャー

　「攻撃者は、閲覧者数が多い信頼できるWebサイトに“侵入”することで、ターゲットとなるエンドユーザーを増やしている」（ホーガン氏）。

　これまでのWebベース攻撃は、攻撃者自身がポルノサイトなどのWebサイトを作って閲覧者を誘導し、マルウェアなどをダウンロードさせるという手法が中心的だった。しかし近年は、「ユーザーが毎日訪れるような通常のWebサイト」を攻撃者が改ざんし、悪意のあるコンテンツを埋め込んだり、危険なWebサイトにリダイレクトするといった手法が増加しているという。

　攻撃者はWebサイトの脆弱性を突いてページを改ざんする。2008年の利用動向調査では、「Webサイト固有の脆弱性」を突いて侵入した事例は前年に比べて減少しており、代わりに「Webアプリケーションの脆弱性」を利用して侵入する事例が増えたという。また、Webブラウザプラグインの脆弱性を突いた攻撃も増加傾向にある。

（左）サイト固有の脆弱性に起因する事例が減少した一方で、Webアプリケーションの脆弱性に起因する事例が増加の傾向にある。（右）ブラウザプラグインの脆弱性について解説するホーガン氏

狙われる個人情報　「友達に迷惑メールを送ってしまうだけでは済まない」

　2008年の調査期間中にシマンテックが検知したすべての悪意ある攻撃のうち、個人情報の不正入手を試みた攻撃は全体の90％だった。調査期間中のすべてのデータ漏えいのうち、クレジットカード情報が流出したのは12％。データ漏えい1件あたりの損失額も、前年と比較して上昇している。リポートによれば、不正入手したクレジットカード情報や銀行口座情報などの売買を専門とするアンダーグラウンドエコノミーが活発化しているという。

　「2006年以降は特に、金銭を得るために不正に個人情報を入手しようとする攻撃が増加している。単に迷惑メールを友達に送ってしまうような攻撃ではない。銀行の口座番号を盗まれるような攻撃だ」（ホーガン氏）

2008年に発見された“脅威”のうち、9割以上が機密情報に関するもの。（右）2006年以降、「情報＝マネー」の図式は変わらず

　リポートでは、こうした攻撃に備えて、セキュリティソリューションを提供する各社の協調の重要性を訴えると同時に、エンドユーザー1人1人がセキュリティ意識を向上させる必要があるとしている。