ブラウザのセキュリティを再考する：揺らぐ技術の積み重ね（1/2 ページ）

絶え間なく変化するWebの脅威は、ユーザーに従来からの慣行と技術について抜本的な改革を強いている。

[Andrew Garcia，eWEEK]

　Webを狙い撃ちする脅威とダウンロードによるマルウェアの侵入が最大の問題となりつつある中、企業のIT管理者やユーザーは、コンピュータやデータを保護するために用いてきた従来のルールと慣行を再考する必要に迫られている。このまま状況を軽視すれば、正規のWebサイトがマルウェア感染の元凶になってしまいかねない。

　悪質な行為で不正な利益を得ようとする犯罪者の狙いから、マルウェアには2つアプローチがある。

　まずはフィッシング詐欺だ。マルウェアの作者は新しいドメインとWebサイトを迅速に用意するので、URLフィルタリングやシグネチャデータベースではなかなか対応できない。管理者にできる対策は、セキュリティ会社が新しいシグネチャを提供するまでの間、被害者の数を最小限に抑えること以外にない。

　マルウェアのもう1つのアプローチは、Webサイトのハイジャックだ。Webサイトそのものは正当なものでも、ビジターを悪意のコンテンツに誘導する仕掛けが隠されている。

　この2つのタイプの脅威を組み合わせた代表的な脅威が、Asproxボットネットだ。このボットネットはもともと、無垢なユーザーを偽のWebサイト経由でマルウェアへ誘導するフィッシング目的のものだったが、数カ月前から正規サイトにSQLインジェクション攻撃を仕掛ける形態に変化した。Asproxは、Googleを利用して脆弱性のあるASPページを自動的に検索し、そのサイト内に不正プログラムへリダイレクトするIFRAMEタグを埋め込んで、ビジターをWeb上のどこかに仕組まれた不正プログラムにリダイレクトする。

　実際、正規サイトの多くのページにこうしたマルウェアがすでに仕込まれているという情報もある。Sophos Labsは2008年7月発行の「Security Threat Report Update」で、同社が2008年上半期に調査した汚染サイトの9割が、本来は正規サイトだったものが何らかの形でハッキングされたケースだったと報告している。また、Sophos Labsはリポートの中で、同期間中に新たにマルウェアに感染したページは1日平均1万6000ページに上ると推計している。

　マルウェアの形態が変化したことで、IT管理者たちは社内資産の安全性を確保する方法を改めたり、ユーザーの安全を守るために適切なアドバイスを行うことが重要になってきた。

　銀行やオンラインショップ、ソーシャルネットワークサービス（SNS）など、ユーザーが定期的に訪問する正規サイトが信頼できないとなると、これまでのような「スパム指向」の対策――「電子メール内のリンクをクリックしない」など――では、十分な効果が期待できない。

　実際のところ、正規サイトはマルウェアのメジャーな供給源だ。見た目だけでそのサイトが信頼できるかどうか、ユーザーには判断ができない。アクセスしたサイトがその時点で――つまり5カ月前でも1時間前でもなく、その瞬間――安全であることをユーザーに保証できる技術的なソリューションが求められている。

　セキュリティベンダーは、これまでもさまざまな新技術を開発し、Webの脅威と戦ってきた。しかし、アンチウイルスプラットフォームで実行してきたシグネチャベースのシステムは、新しいタイプの脅威に対してもはや必ずしも効果的ではない。