そんなところに?正規サイトに潜むWeb感染型マルウェア

2013年12月2日

Web上でマルウェアに感染するのは、いかがわしいサイトや、「職場閲覧注意」の記事ばかり掲載しているサイトを見たから――これは非常によくある誤解です。コンピューターがマルウェアに感染したことを友達に話すと、誰か1人くらいは必ず、このようなサイトやポルトサイトを長時間見ていたのだろうと冗談を言います。

Web感染型マルウェア

しかし実際には、アダルトサイトにアクセスしたからマルウェアに感染するという時代は終わったと言っていいでしょう。他のWebサイトと違って、アダルトサイトは有料である場合がほとんどです。したがって、サイト運営者はマルウェアの感染を何としても防がなければなりません。それに、マルウェアに関しては明らかに評判が悪いので、汚名を返上しようとセキュリティに力を入れ過ぎているサイトもあるかもしれません。

私の経験上、マルウェアに感染したWebサイトの大半は、誰も感染するとは思わないようなサイトです

どんなマルウェア感染も、「トローリング」と「スピアフィッシング」という2つの戦略を基本としています。トローリングをたとえて言うなら、できるだけ大きな網を張って、できるだけ多くの魚を捕まえようとすることです。これがボットネットの運営者や、銀行を狙う(バンキング型)トロイの木馬の開発者が採用する戦略です。スピアフィッシングは、特定の魚を選んでその生息地へ行き、その魚が好きそうな餌を釣り針にしかけて捕まえるというもの。これと同じように、攻撃者は人気サイトのぜい弱性を発見してマルウェアに感染させ、できるだけ多くの感染を引き起こそうとします。あるいは、標的にしたいユーザーが訪れそうなサイトのぜい弱性を見つけるというやり方もあります。この2番目の手口はWater-Holing(水飲み場型攻撃)と呼ばれています。攻撃名の由来は大自然の現実。水辺に身を潜め、水を飲みに来る獲物を待ち伏せる肉食動物になぞらえています。こうした肉食動物は、獲物が頭を下げて水を飲み始めるまでじっと待ち、それから襲いかかるのです。同様に、サイバー犯罪者は標的がどのサイトに訪問するかを予測し、そのサイトのぜい弱性を探します。

広範囲を狙うタイプの攻撃が起きた最近の例としては、人気のユーモアサイトcracked.comのマルウェア感染があります。Barracuda Labsの研究者は、この攻撃によって極めて多くの感染が発生した可能性があると懸念しており、その理由の1つに、Web情報企業Alexaが同サイトを米国で289位、世界で654位にランクしていることを挙げています。また、SpiderLabsの調査によれば、Web開発者リソースサイトPHP.netも最近感染し、ごく一部のロシアの銀行サイト(リンク先の記事はかなり難解なロシア語です)も感染したそうです。

さらに洗練された攻撃、つまり標的を絞ったタイプの攻撃の例として最適なのは、今年相次いで発生した米労働省への水飲み場型攻撃でしょう。この攻撃は、米政府の機密ネットワークにアクセスできる職員を狙ったものと見られています。より最近では、米国内外の政策指針を掲載する匿名の米国NGOのWebサイトに水飲み場型攻撃があったことを、セキュリティ企業FireEyeの研究者が報告しています。

要するに、労働省のWebサイトがマルウェアをホストしているとは誰も考えていません。しかし、訪問者が警戒を緩める感染しそうにないサイトに感染するということこそが、重要な点なのです。

完ぺきなセキュリティというものは存在しません。マルウェアがどこに潜んでいるかは決してわからないでしょう。攻撃者は、利用できるぜい弱性を抱えたサイトを自動ツールによって発見します。したがって、ユーザーの安全はWebサイトの管理者が更新をインストールすることにかかっていますが、その更新を開発する各ソフトウェアベンダー次第であるとも言えます。管理者が一般のインターネットユーザーと大して変わらないような人なら、ちゃんとパッチを適用してくれないでしょう。確かにベンダーは以前よりもずっと適切にパッチを開発するようになりましたが、この分野では今でも驚くほど多くの企業が、パッチのスケジュールを管理していないのです。

以上を総合すると、マルウェアを含んだWebサイトへの対策として最も簡単なのは、アンチウイルスプログラムを実行すること、ブラウザーの警告に注意を払うこと、セキュリティ関連のニュースを読むことです。これらの対策は、ネットサーフィンをしているのがPCでも、Macでも、タブレットでも、スマートフォンでも有効です。