ネットの脅威はよりひそかに、そして確実に：「行く年来る年2007」ITmediaエンタープライズ版（2/3 ページ）

[堀見誠司，ITmedia]

“ねらい撃ち”のゼロデイ攻撃は続く

　一方、細工されたファイルを開くだけでウイルス感染させるターゲット型のゼロデイ攻撃も、引き続き大きな脅威となっている。2007年もゼロデイ攻撃を仕掛けるエクスプロイトが多数登場し、さまざまなアプリケーションを「ねらい撃ち」した。

　ゼロデイ攻撃は、Internet ExplorerやMS Officeといった世界的にユーザー数の多いアプリケーションの、修正プログラムが存在しない脆弱性を悪用する。今年もQuickTimeやRealPlayer、Adobe Acrobat、Yahoo! Messengerなど、WindowsのURI処理の問題を利用したものを含めて攻撃の手が緩むことはなかった。

　ただ、純国産アプリである「一太郎」シリーズが4月、8月、12月と4カ月おきに、昨年から継続的に攻撃にさらされたことは、特定の地域やベンダーに対して今後も集中的な“弱点探し”が行われる可能性を示唆している。この点について、セキュリティ企業の米Symantecは「マルウェア作者は一部の不運なソフトにいったん目を留めると、そのソフトをあらゆる方面から攻撃するようになる」と解説している。

　それに加えて、日本のファイル圧縮・解凍ツールのフリーウェア「+Lhaca」「lhaz」が攻撃対象になったほか、「Lhaplus」にも未知の脆弱性が2度発見され、ユーザーを脅かした。ソニーの音楽管理ソフト「SonicStage CP」にも、未パッチの脆弱性が見つかっている。このことから分かるように、国産アプリであってももはやゼロデイ攻撃の対象になり得るのだ。

　アンチウイルスソフトなどのセキュリティ対策製品においてヒューリスティックスキャンなどの検出技術の実装も進んだが、単一の技術だけでゼロデイ攻撃を完全に防ぐことはできない。マルウェアが仕組まれた不正なファイルへのアクセスは、前述のようにメール添付だけでなくWebを起点とすることが急速に増えたため、URLフィルタリングやWebレピュテーション（Webサイトの信頼度を評価する仕組み）を組み合わせた多層的な対策が求められるだろう。

安全神話崩れる

　2007年は、Macやスマートフォンといった、かつて「安全地帯」とされたプラットフォームにも攻撃の手が及び始めた。

　海外でiPhoneが発売、その爆発的ヒットを受け国内でも注目が集まったが、普及と同時に内部の個人情報が狙われる危険性も高くなった。例えば、iPhoneが搭載するブラウザ「Safari」の脆弱性が見つかり、クロスサイトスクリプティング（XSS）で有料ダイヤルに電話をかけさせたり、またはアドレス帳や通話履歴を送信させることができる問題が発覚。root権限を奪い、メールやブラウザ履歴などのデータを取得したり通話を録音したりできる侵入テストツールも登場した。

iPhone人気のためか、ロックを解除するツールを紹介するビデオまで公開された

　あるセキュリティ研究機関は「スマートフォンのウイルス対策について神経をとがらせる必要はない」と説明しているが、攻撃者にとって格好のハッキングプラットフォームになる可能性は十分にある。PCのようにセキュリティアップデートを進んで定期的に適用するユーザーは少ないとみられるだけに、攻撃が起きた際の影響度は大きいと考えることができる。

　Macユーザーにとっても、ウイルス感染はもはや対岸の火事ではない。11月にはMac OSを狙ったトロイの木馬による初の本格的攻撃が確認された。その後ウイルスにも少しずつ手を加えられており、一過性のインシデントとしては片付けられなくなった。各セキュリティ企業は、クリック詐欺やアフィリエイトの売り上げ乗っ取りを目的にプロ集団が仕掛けたものとして警鐘を鳴らしている。