ユーザーをだます脅威は“百花繚乱” の様相に：2008年のセキュリティ模様（1/3 ページ）

サイバー攻撃の潜在化、複雑化が進む。ユーザーに忍び寄る脅威がWebから周辺機器にまで広がった今、コンピュータに対する信頼や安全をどう確保すべきだろうか。

[國谷武史，ITmedia]

　「弊社のWebサイトに不正アクセスがあり、お客様がウイルスに感染した可能性があります」――2008年は、国内企業のWebサイトにこうした案内が掲載される事件が多数発生した。被害に遭った企業の多くは、「なぜ、うちが狙われたのか！」「改ざんにまったく気が付かなかった」といった感想を抱いた。サイトを訪れたユーザーも「まさか、そんなはずでは……」と、信用して閲覧したはずのWebサイトでマルウェアに感染した事実を受け入れられなかった。

　正規のWebサイトを改ざんして訪問者をマルウェアに感染させる手法は、以前にも存在していた。しかし、この手法を用いた攻撃は2007年から増加し始め、2008年は日本を含めた世界中のWebサイトが大規模な攻撃に巻き込まれた。

　攻撃者は、SQLインジェクションに代表されるWebサーバの脆弱性を突いて不正アクセスを試み、サイト内にマルウェアをホストした別のWebサイトへのリンクを埋め込む。改ざんの痕跡は、PC画面上に「ドット」などわずかな形でしか表れず、訪問者にもサイト管理者にもほとんど気付かれることがない。訪問者がサイトを閲覧している間、ブラウザには度重なるリダイレクトによって無数のマルウェアが送り込まれ、ついには「ボットマシン」と化してしまう。

　原因を特定しようにも感染経路が無数に存在し、仕掛けた張本人を特定するのは事実上、不可能に近い。2007年末に「密かに、そして確実に」と予見した2008年の情報セキュリティの脅威は、まさにこの通りとなってしまった。

SaaSでも提供する攻撃ツール

　従来のサイバー攻撃は、コンピュータの知識に長けた人物が自身の腕を試すことを目的に仕掛けることがほとんどだった。しかし、現在ではPCの普及やサービスの多様化で、ユーザー個人に関わる重要な情報がPCに蓄積されるようになり、攻撃者の目的も「自己顕示型」から情報を盗み出す「情報標的型」へ移り変わっていった。

　盗まれたユーザーの個人情報は、「なりすまし」などのさらに別の目的に悪用される。個人情報はアンダーグラウンド市場で売買され、クレジットカード番号などの情報は高値が付くケースも多いという。米Symantecの調査によれば、アンダーグラウンド市場の経済規模は2億7600万ドル（1ドル90円換算で約248億円）以上になる。

　さらに、アンダーグラウンド市場では盗み出された個人情報に加えて、「MPack」のようなマルウェア作成ツールや攻撃キット、攻撃対象先リストが数ドル〜数百ドルほどで売られている。こうした攻撃キットは、GUIによって初心者でも簡単に利用できるものや開発者によるサポートが付属されたものまである。

マルウェア作成キットの例（Panda Securityより）

　ラック・サイバーリスク総合研究所の新井悠氏によると、「TURKOJAN」というマルウェア作成キットではブロンズ／シルバー／ゴールドと技術レベルに応じた3段階のサポートが付属して99〜249ドルで販売されているという。さらには、月額50ドルで攻撃者の希望に応じた攻撃キットを作成したり、ボット感染PCの情報を提供したりするSaaS型のオンラインサービスも登場している。

　もはやサイバー攻撃は、アンダーグラウンド市場に関する知識を持っていればPC初心者でも簡単に実行できてしまう状況になり、ユーザーにとっては従来以上に身近な問題となりつつある。