新たなトロイの木馬攻撃で浮き彫りになるIEの危険性

銀行サイトのログイン情報を盗み出す新たな攻撃の発見で、IT管理者はIEからの移行を検討するだろうとセキュリティ専門家は予測している。とは言え技術的な問題もあり、ブラウザの切り替えは容易ではない。（IDG）

[IDG Japan]

　Internet Explorer（IE）のユーザーは、ブラウザのアドオンを使ってBarclaysやHSBCなど約50の銀行サイトからログイン情報を盗み出す新たな有害コードの危険にさらされている。セキュリティの専門家が警告している。

　この悪性ファイルは、主要な電子商取引サイトの脆弱なサーバを使って、完全にパッチが当てられたIEブラウザに感染し、さらにポップアップ広告を介して広まっているようだ。Microsoftがまだこの後者のバグのパッチをリリースしていないことから、ユーザーを少なくとも一時的にIEから切り替えさせることを真剣に検討するIT管理者が出るはずだと一部のセキュリティ専門家は予測している。

　この最新の脅威は、開発者がIEをカスタマイズするためのヘルパーファイルである、Browser Help Object（BHO）の形を取っている。数カ月前から、ハッカーはBHOを使って、ユーザーのPCにスパイウェアをインストールしてきた。セキュリティ専門家によれば、こうしたアドオンはIEと非常に密接に統合されているため、検出や削除が難しく、Norton Antivirusなどのウイルス対策プログラムでも探知できない。

　新しいBHOの脅威は6月24日に、ある「大手ドットコム」が「img1big.gif」という挙動不審なファイルをSANS Instituteに転送してきたことで明らかになった（6月30日の記事参照）。このファイルには、「ファイルドロッパー」というトロイの木馬が含まれ、このトロイの木馬がBHOをインストールするようになっていた。SANSの研究員トム・リストン氏によれば、無作為に名前の付けられた.dllファイルがC:\WINDOWS\System32\ディレクトリに挿入されたという。アカウントの制限があったため、このファイルは実際には、意図したPCにはインストールされなかった。SANSは6月29日、この攻撃に関する警告を発表した。

　このヘルパーオブジェクトは、Citibank、Barclays、HSBC、Deutsche Bankなど、数カ国の数十の銀行および金融サイトへの（セキュアな）HTTPSアクセスを監視し、ログイン情報らしきデータを暗号化前の段階でキャッチする。次にそのデータを攻撃者に送り返す。研究者によれば、攻撃は南米から仕掛けられているもよう。

　「この特殊な悪性プログラムはオンライン金融業界にとって深刻な脅威だ。アドウェアやスパイウェアのまん延が示しているとおり、ユーザーのマシンに実行可能なプログラムをあまりに簡単にインストールできてしまう」とリストン氏は自らの報告書に記している。

　Microsoftは、IEのセキュリティ設定を「高」に切り替えることでこの脅威は回避できると説明している。またヘルパーオブジェクトは現在ユーザーの目に付かないようになっているが、これからリリースされるWindows XP Service Pack 2には、こうしたオブジェクトの検出・除去ツールが含まれる。また今回の悪性コードは、IEがCHM（Compiled HTML Help）ファイルを処理する方法に関する古い脆弱性を介して広がっているように見受けられるため、完全にパッチを当ててあるブラウザであれば危険性は低いはずだ。

　セキュリティ専門家によれば、少なくとも最近攻撃に利用された脆弱性にパッチが当てられるまでは、企業にとってIEを使い続けるのはリスクが大きすぎるかもしれない。セキュリティ団体のCERTは、最近のWebサーバベースの攻撃に関する警告で、「信用できないサイトをブラウザする際などは特に注意して別のWebブラウザを使うようにすれば、こうした脆弱性にさらされる機会を減らせるはずだ」と指摘している。

　それでも、多くのIT管理者にとって、ブラウザの切り替えは単純な問題ではないだろう。ユーザーがIEのインタフェースを使い慣れているからというだけでなく、技術的な理由もある。「ブラウザを切り替えることになれば、DHTMLやVBScript、ActiveXといったIE特有の機能を必要とするサイトの機能性が損なわれることもあるだろう」とCERTは指摘している。またWeb開発者は、多くのサイトは業界標準というよりも、市場で支配的なIEブラウザに照準を合わせて調整されているため、事実上、ほとんどのサイトはIEに縛られているも同然だと指摘している。

　たとえユーザーからの苦情に対処できたとしても、ブラウザを切り替えることで必ずしも問題が解決するわけではない。CERTは、ブラウザを切り替えだけではWindowsシステムからIEを排除したことにはならないと指摘している。ほかのプログラムがIEやWebBrowser ActiveXコントロール、IEのHTMLレンダリングエンジンを呼び出すこともあるからだ。

　開発者が強力なヘルパーオブジェクトを追加できるブラウザは、IEだけではない。MozillaやOperaなどの競合プログラムも同様の機能を備えているが、これまでのところ攻撃には利用されていないとCERTの研究員は語っている。

　セキュリティ専門家によれば、Microsoftがパッチを適宜リリースしてIEのセキュリティを強化しようと取り組んでいるにもかかわらず、同社のブラウザは今後も危険なままという。なぜなら、ほとんどすべてのPCが同社のブラウザを使っているからだ。Symantecはインターネットセキュリティの脅威に関する最新の報告書で次のように指摘している。「懸念の最大の要因は、IEが享受している巨大な市場支配力だ。IEのクライアントサイドの脆弱性が、企業にセキュリティの脅威を与え続けている」

　セキュリティに対する懸念から、IEの独占状態に変化が起こりつつあるという兆しはほとんど見られない。Googleにはサイトの利用状況を記録するZeitgeist機能があるが、これによれば、IE 6.0の利用は今年に入りいったん減少したものの、その後すぐにまた上向きに戻ったという。5月末の時点で、IE 6.0はGoogleを訪問するブラウザの90％以上を占めており、それ以前のバージョンも含めればさらにその数字はさらに大きくなる。Netscape、Mozillaなど、そのほかのブラウザも健闘しているが、市場全体に占める割合はほんの一部に過ぎない。