最悪だったWeb改ざんとマルウェア感染攻撃をふりかえる・2013年まとめ：Webから降ってくる脅威（3/3 ページ）

[國谷武史，ITmedia]

閲覧者側の脆弱性

　ドライブ・バイ・ダウンロード攻撃では最終的に、ユーザーのコンピュータに送り込まれた不正プログラムが実行されてしまうかどうかが、被害の有無を分けるといっても過言ではないだろう。不正プログラムの実行に関わるのが、ユーザーのコンピュータ内に存在する脆弱性だ。

　引き続き日本IBMのレポートをみると、ユーザーのコンピュータで悪用される脆弱性の89.4％を、Java Runtime Environment（JRE、Java Runtime、Java Plug-in）が占める。次いでAdobe Readerが4.2％、その他が6.5％だが、その他ではFlash Playerが多いという。

　トレンドマイクロは2月に公開した「2013年間セキュリティラウンドアップ」で、2013年2月にサポートが終了しているJava 6の脆弱性を悪用する攻撃について触れ、実際に攻撃が発生しながら大半のユーザーのコンピュータにインストールされている状況を指摘している。

　特に企業ではJava 6などの古いバージョンで動作する業務アプリケーションについて、改修コストが重荷になったり、開発元が既に存在しなかったりといった理由から、対応が取れない場合もある。また、Javaのアップデート対応を社員任せにしているケースも少なくない。

　日本IBMによれば、不正プログラムの感染といったドライブ・バイ・ダウンロード攻撃の成功率は、2013年上期が13.2％、同下期は12.2％だった。下期にやや減少したとはいえ、ユーザーのコンピュータに送り込まれる不正プログラムの約9回に1回は感染に成功するという状況だ。

対策は難しい？

　ドライブ・バイ・ダウンロード攻撃への対策としては、「Webサイト側の脆弱性を可能な限り修正する」「管理者アカウントの盗難を防ぐ」「改ざん検知の仕組みを導入して監視する」「閲覧者のコンピュータの脆弱性を修正する」「セキュリティソフトを常に最新にする」などの基本をまずは徹底することになるだろう。

　しかしながら、例えば閲覧者側では上述のケースにあるJavaなどを最新にできないといった事情が重なると、個人としての対応には限界がある。その場合、セキュリティソフトを常に最新にして、なるべく悪質サイトに誘導されない、誘導されても送り込まれる不正プログラムを検知できるようにするしかない。

　Webサイト側の対策はさらに難しい。国内のWebサイトの多くはホスティングサービス上で稼働し、サイト運営者が管理できる範囲は、サービス内容に左右される。そもそも、企業や組織ではWebサイトの管理者とセキュリティ管理者が全くの別部門であったり、中小組織などでは運営者が管理業務を外部委託したりするケースも非常に多い。管理責任があやふやな状態になっているWebサイトは、攻撃者にとって実に“おいしい”踏み台といえる。

　ドライブ・バイ・ダウンロード攻撃の横行ぶりは、Webサイトを取り巻く多くのセキュリティ課題を突き付けた格好だ。