ネットの脅威はよりひそかに、そして確実に：「行く年来る年2007」ITmediaエンタープライズ版（1/3 ページ）

2007年は、Webからの脅威がクローズアップされた年だ。サイバー犯罪の組織化、攻撃の「見えない化」、ゼロデイアタック――誰もが知っている、その正規のサイトさえももはや安心して見ることができないのだろうか？

[堀見誠司，ITmedia]

　ネットを利用するPCユーザーのほとんどが不安を感じているという調査データにもあるように、オンライン犯罪の現状を見ると、手口が巧妙化、盗んだ個人情報などから金銭を得るという目的がさらに明確化している。

　2007年の情報セキュリティについては、脅威がますます見えにくくなると予想されていた。今年はこの傾向が顕著になり、さらに攻撃者がターゲットを絞って、さまざまな手段を講じ確実に利益を得るという、去年から見え始めていた構図が完全に出来上がったといえる。

　これを示す一例が、ボットによる攻撃だ。症状が表に出ないためユーザーが感染に気付かないことがボットの特徴だが、感染方法が電子メールの添付ファイルをうっかり開いてしまうものから、メール本文のリンクよりボットが埋め込まれた悪質サイトに誘導される方法へと変わりつつあり、ユーザーにとって経路が一層分かりにくくなってきた。

　また、感染PCをボットネットとして制御してしまうマルウェア「Storm Worm」が今年猛威をふるったことも挙げられる。注目ニュースや季節行事に便乗したり、出会い系やゲーム、会員登録、eカードの写真を装うなどさまざまに手口を切り替えながら感染を広げた。背後にいる犯罪組織がソーシャルエンジニアリングの手法で検出を免れながら、大規模なDDoS（分散サービス妨害）攻撃を仕掛ける可能性も指摘されていた。

正規のサイトさえも危ない

　脅威の「見えない化」を推し進めたもう1つの大きな要素は、攻撃の発端が迷惑メール（スパム）からWebへと移行したこと。メールに添付されたウイルスファイルを開いて感染するのではなく、Webサイトを見るという日常的な行為の裏で、ユーザーが気付かないうちに感染してしまうというものだ。しかも、プログラムは通常のHTTP通信でダウンロードされるため検出が難しいが、かといって80番ポートを閉じるわけにもいかない。

　Webを介した脅威は2004年末ごろから毎年倍増しており、2007年初めには2004年末時点に比べて5.4倍も増加したとトレンドマイクロはリポートしている。

Webからの脅威の推移（トレンドマイクロの資料より）

　問題を深刻にしているのは、不審なサイトだけではなく、信頼できる正規のサイトを閲覧してもウイルス感染する恐れがあるということである。今年6月イタリアで3000以上の正規Webサイトが不正侵入され、サイトの訪問者1万5000人近くを感染させた事例が記憶に新しい。正規サイトがマルウェアのホスティングに利用されているのだ。ここで攻撃に使われていたのがMPackである。

　MPackは、それが置かれたWebサイトにアクセスするPCに攻撃コードを送り込むマルウェア作成ツール。サイト閲覧時に感染し、ユーザーの環境に応じて、Windows OSのほか、Webブラウザのプラグインなど複数のアプリケーションの脆弱性を悪用する不正プログラムやボット、対策ツールの検出をかわす機能拡張用のコンポーネントなどを追加ダウンロードして実行する。先のイタリアのサイトは、Webページの改ざんにより不正なiframeが挿入され、アクセスしたユーザーのPCにMPackが仕込まれるようになっていた。MPackは、闇市場で売買されており、脆弱性情報やエクスプロイトも金銭目的で扱うビジネスも登場している。

検索エンジンのキーワード検索でマルウェアサイトを表示させるSEOポイズニング

　Webを検索するという日常的なユーザー行為を悪用してトロイの木馬などに感染させる手法も目立ち始めている。GoogleやYahoo!など有力なサービスのキーワード検索のインデックスページ上位に悪質サイトを表示させ、ユーザーがリンクをクリックするとJavaScript経由で別サイトに誘導し、マルウェアやスパイウェアをダウンロード・実行させる「SEO（Google）ポイズニング」だ。Webサイトの大量のハッキングやインデックスページの汚染などの“合わせ技”を使う。