人気Webサイトの約半数にセキュリティリスク

2018年9月3日

Webサイトにアクセスするとき、あなたのコンピューターは予想以上に多くの危険にさらされているかもしれません。どのWebサイトもそれぞれ独自のコンテンツを読み込みますが、それ以外に広告ネットワークから提供される広告を読み込むWebサイトもあれば、他のサイトが提供するコンテンツを読み込むWebサイト、他のWebサイトがホストするサービスを読み込むWebサイトもあります。目に見えるか見えないかを問わず、訪問者は種々雑多なコードを頻繁に受け取っているのです。

そういうことを気にするのは怪しげなWebサイトや小さなWebサイトを訪れるときだけでいいようにも思いますが、そうではありません。Menlo Securityが世界のアクセス数上位のWebサイトを分析(英語記事)したところ、いまだに半数近くのWebサイトが、脆弱なソフトウェア、多くのアクティブコンテンツ、大量のコード実行に訪問者をさらしていることが明らかになりました。言い換えると、多くの危険が潜んでいるというのです。Menlo Securityのリサーチャーは、Alexaランキングの上位100,000サイトの42%に「リスクがある」としています。

バックグラウンドサイトとアクティブコンテンツ

この調査では、オーストラリア、シンガポール、フランス、日本、英国、米国のAlexaランキング上位50サイトに焦点を当て、こうしたWebサイトの稼働状況を分析しています。

冒頭で述べたように、Webサイトでは複数Webサイトのコンテンツが引用されています。分析では、各Webサイトが平均して25のバックグラウンドサイトと通信し、さまざまな種類のコンテンツを取得していることが分かりました。つまり、信頼できそうな1つのWebサイトを訪れているつもりでも、実際には何十ものWebサイトとやりとりをしていて、そのほとんどは聞いたこともないWebサイトなのです。

リスクを抱えた「バックグラウンドサイト」のアクティブコードを利用している割合(国別)

さらに、アクティブコンテンツの問題があります。上の図が示すように、アクティブコンテンツがもたらすリスクの度合いはかなりの幅があります。しかし、低い場合でも20%前後であり、上位サイトの5つに1つという数字です。ちなみに「アクティブコンテンツ」と呼ばれるものには、動画や動画関連アイテム以外にも、天気、ニュース、株価などの情報をパーソナライズして動的に更新するコンテンツがあり、Webサイトの魅力や利便性を高めるのに貢献しています。しかし、アクティブコンテンツを支えるプログラミング言語であるJavaScriptやFlashは脆弱性が指摘されることが多く、Webサイト所有者がJavaScriptやFlashのアップデートを怠ることで問題は悪化します。

脆弱性を抱えるアクティブコンテンツは、サイバー犯罪者によってマルウェアなどの拡散に悪用される場合があります。皆さんがよく見るニュースサイトはセキュリティ意識の高いしっかりしたサイトかもしれませんが、そこにコンテンツを提供している提供元もみんなそうでしょうか?

脆弱なWebソフトウェア

Menlo Securityのレポートによると、世界の人気Webサイトの多くは古いサーバーを使用しており、サーバーを何年も何十年も更新していない場合もあります。そのようなWebサイトはマルウェアや不正アクセスに弱く、訪問者を危険にさらすことになります。

更新されていないWebソフトウェアは攻撃に利用される可能性も

昨年のWannaCryの大規模感染から得られた教訓があるとすれば、ソフトウェアをすぐに更新することの重要性であるはずなのですが。

安全を守るために

ここまで見てきたように、Webサイトのリスク要因には、利用者側ではどうにもならないことが多々含まれています。したがって、利用者側で常に用心し、ブラウザーでFlashを無効にし、慎重を期すならJavaScriptも無効にしましょう。ただし、WebサイトによってはJavaScriptがないと利用できません。また、強力なセキュリティ製品をインストールし、製品の自動更新を設定しておくと、なおいいでしょう。アクセスするWebサイトをチェックする機能、ダウンロードされるファイルをスキャンする機能を備えているカスペルスキー インターネット セキュリティは、悪意あるWebサイト(またはそのコンテンツサーバー)が送り込もうとする脅威から、利用者の安全を守ります。