NetRunner:2002年7月号 - 特集2：難攻不落のハッカー撃退マニュアル

ネットランナー　2002年7月号

2002年6月11日（火）

サイトにアクセスしただけで被害に遭う

　ウェブを見ているだけでも、さまざまな危険に遭遇する。リンクをクリックした瞬間、IEやアウトルックエクスプレスのウインドウが何枚も立ち上がり、パソコンがリソース不足になってフリーズするブラウザクラッシャー（ブラクラ）は典型的な例だ。

　また、ページにJavaScriptやActiveXによる悪意のあるコードが含まれていると、気づかないうちにクッキーやクリップボードの内容をのぞかれていたり、ウイルスをインストールされたりしてしまう。

　このようなコードは、ページの管理人が意図的に書き込んでいるケースだけではないので注意しよう。例えば、昨年大流行したウイルス「NIMDA」は、セキュリティホールを利用してウェブサーバに感染し、サーバ上にあるウェブページに自動的にJavaScriptを埋め込んで感染経路を拡大させるようになっている。また、攻撃を意図したものでなくとも、アダルトサイトなどに行くとActiveXを使ってダイヤルQ2や国際電話をかけるためのプログラムを強引にインストールしようとすることがある。

ホームページは危険がいっぱいだ

ブラウザのセキュリティホールはIEが圧倒的に多いが、ネットスケープやモジラにも危険は潜んでいる。クッキーの内容を盗み見られるセキュリティホールもある。使うソフトウェアが何であれ、セキュリティアップデートを怠れば攻撃を受ける可能性があるのだ
ActiveXでソフトウェアをインストールする警告が表示されるサイトがある。不用意にインストールすると、ダイヤルアップ設定が書き換えられ、多額の国際電話やダイヤルQ2使用料を請求される
ブラクラのリンクをクリックすると、突然ものすごい速度でIEやアウトルックエクスプレスのウインドウが大量に開き始める
掲示板で「おすすめ画像」などと興味をそそるコメントが付けられたリンクをクリックしてみると、事故現場や死体などの不快な画像が表示されてビックリさせられることがある。これは「精神的ブラクラ」と呼ばれ、見た人にイヤな思いをさせるための攻撃なのだ
ブラウザ経由で、パソコン内のいろんなファイルを盗み見て、その内容をひそかにサーバに保存しているページもある。クッキーファイルやクリップボード内のデータなどがのぞかれると、個人情報の漏洩につながる可能性もある。IE6では、パソコン内のファイルを閲覧されてしまうセキュリティホールも見つかっている

ブラウザの危険性がよく分かるデモサイト

　ブラウザの脆弱性を実証するために、セキュリティホールを使った攻撃のデモスクリプトが置かれたサイトがある。例えば「osioniusx.com」などは、IEの脆弱性についてのデモスクリプトをいくつも集めて公開してくれている。

　デモを実行するとブラウザでさまざまな攻撃が実際に行われ、その危険性を把握することができる。このようなデモサイトを訪れてデモを実行すれば、自分のブラウザがセキュリティホールを含んでいるかどうか手軽に調べることができるだろう。また、ブラウザの設定を変更することでセキュリティホールを回避できるかどうかも分かる。

　デモがきちんと動かなければ、自分のパソコンではそのセキュリティホールはふさがれているということだ。新しいセキュリティホールが発見されたら、デモを置いているサイトを探して試してみよう。

osioniusx.com

詐欺師がいるサイトには要注意だ

　セキュリティホールをすべてふさいでいても、ネット上にはまだまだ危険がある。例えば、ネット詐欺がそうだ。ネットは顔を見ないで取引を行うため詐欺師がたくさん潜伏しており、おいしい言葉にだまされてしまう人は意外に多い。普通のネット通販サイトと見せかけて実はお金をだまし取ろうとしているサイトかもしれない。

　また最近ではネットオークションを利用した詐欺行為が非常に多い。偽ブランド品や儲け話と称したうさんくさい情報の販売が多いが、中には、パソコンなどを出品し、お金が振り込まれると商品を送らずに雲隠れしてしまうケースもある。安値で落札して、いい買い物をしたと思っていると、詐欺師に足元をすくわれることになる。うまい話には気をつけよう。

　万一、被害に遭ってしまったときは迷わず警察に相談しよう。警察庁のサイトで、都道府県ごとにある、ハイテク犯罪に関する相談窓口の電話番号を調べて連絡すればいい。

警察庁はハイテク犯罪に関する相談窓口を設けている

難攻不落のハッカー撃退マニュアル　7/9