「奴らは本気になった」――セキュリティ脅威の目的に大きな変化：「行く年来る年2006」ITmediaエンタープライズ版（2/2 ページ）

[高橋睦美，ITmedia]

技術を使うまでもない「詐欺」も横行

　ボットやゼロデイ攻撃といったテクノロジーが巧妙化する一方で、こうした手法をわざわざ用いるまでもない、原始的（？）なオンライン犯罪も増加した。ソーシャルエンジニアリング――詐欺師的なテクニックを用いた「ワンクリック詐欺」や「ミスリーディングアプリケーション」だ。

　ワンクリック詐欺は、当初アダルトサイトで多く見られた手口だ。URLや画像をクリックしただけのつもりが、「ご利用ありがとうございます、利用料金は○○円です」といった請求画面がたびたび表示される。中には、プログラムを通じてメールアドレスを盗み取り、請求書を送りつける手口もあるという。

　ミスリーディングアプリケーションは、「偽セキュリティ対策ソフト」や「詐欺的ソフトウェア」といったほうが分かりやすいだろう。実際には何の危険も存在しないにもかかわらず、「あなたのPCは危険です」「エラーが検出されました」といった警告を表示して不安に陥れ、自称「対策ソフト」を購入するよう勧める手口だ。視覚的効果を狙ってか、実際には何も行っていないのに、わざわざスキャン行為を行っているかのように見せるアニメーション画像を用意するケースもある。

　いずれも当初は、いかにも怪しいサイトでのみ見られた手口だ。ところが2006年後半当たりから、この詐欺的な手法が、オンライントレードや動画共有サイトなど、広範なユーザーが利用する一般的なサイトにも進出し始めている。実際、動画共有サービス「YouTube」のバナー広告として、ミスリーディングアプリケーションのバナーが表示される事例まで登場した。これには、アフィリエイトプログラムを通じた金銭の流通と責任の希薄化、分散化の影響もあるだろう。

YouTubeに表示された、警告を装うミスリーディングアプリケーションのバナー広告

　攻撃者らがバナー広告を利用し、ときにはわざわざWebページや偽ソフトを日本語化したり、デジタル署名を用意してまでオンライン詐欺を仕掛ける理由は、ひとえに「儲かるから」。Symantecのホーガン氏は、「マルウェアを用いた『商売』が確立され、ある程度コストを掛けてもペイすると認識されている」と述べている。

普及するものは狙われる

　もう1つ、2006年のセキュリティ事件を振り返る上で、Winny経由の情報漏えい事件の多発に触れないわけにはいかないだろう。感染したPCの情報を流出させ、回収が困難な状態にしてしまうウイルス「Antinny」により、多くの機密・個人情報がWinnyネットワーク上に流出した。3月には、安倍晋三内閣官房長官（当時）がテレビを通じて「Winnyを使わないで」と呼びかけるまでに社会問題化した（関連記事）。

　ただ、Winnyは最も派手な例に過ぎない。ほかにも、PCの盗難・紛失や電子メールの誤送信、不正アクセスなど、さまざまな経路を通じて、数えるのも嫌になるほどの情報漏えい事件が発生している。

　こうした状況が多発している背景には、電子化されたデータを、それと意識せずに安易に扱っている現状がある。「IT機器をどう使うか」「情報資産をどう管理するか」という根本的なところに立ち戻って議論していく必要があるだろう。同時に、情報漏えいを恐れるあまり、非合理的なセキュリティポリシーが杓子定規に適用されるケースも散見される。情報を適切に保護し、同時に活用していくための「落としどころ」を探ることが、今後の課題となるのではないだろうか。

　便利なものが普及し、多くの人が利用するようになれば、それを狙う人が出てくる。2007年で言えば、幾つかのセキュリティベンダーが、動画やVoIP／Skype、Ajaxに代表されるWeb 2.0、携帯電話やデジタル家電などが脅威のターゲットになると予想している（関連記事）。

　「浜の真砂は尽きるとも……」ではないが、現実世界の犯罪はなくならない。オンラインの世界も同様だ。いまやわれわれの社会や経済を支える基盤となったITを安心して、安全に、かつ安定して利用できる環境作りに向けた戦いは、終わることはない。