セキュリティ対策の心得、基礎の基礎5カ条

第3回:不正プログラムの入り口(Web)


 前回は、不正プログラムの入り口として、電子メールとインスタントメッセンジャーに対するセキュリティの基礎の基礎5カ条をご紹介しました。今回は、昨今の不正プログラムの感染経路として増加している「Webからの脅威」について考えてみたいと思います。

 不正プログラム拡散方法としては、前回紹介した電子メールを使用したものがイメージされやすいかと思います。不正プログラムに感染すると、コンピュータ内に保存されているメールアドレス宛てに不正プログラムが添付されたメールが次々に送信される、いわゆる「マスメーリング」と呼ばれる攻撃手法です。

 しかし、「怪しい電子メールの添付ファイルは不用意にクリックしない」という意識がユーザーに定着したことから、マスメーリングが攻撃者にとって効果的な手法ではなくなってきているのが実情ではないでしょうか。これに伴い、攻撃者は電子メールに代わる不正プログラムの拡散方法を使用するようになってきました。すなわち、「Webからの脅威」と呼ばれるHTTP通信を悪用した攻撃です。

 不正プログラムの侵入および攻撃にHTTP通信を使用した「Webからの脅威」に該当する不正プログラムの増加推移(トレンドマイクロ調べ)を見てみると、2005年から2009年の4年間で約26倍に増加していることがわかります。これは、ウイルス作成ツールがインターネット上に流通していることなどから、不正プログラムの作成が誰でも、いつでも、いくらでも実施できる状態になっていることなどが主な原因といえるかもしれません。

 今回のセキュリティの基礎の基礎では、昨今爆発的に増加しているHTTPを悪用した不正プログラムの攻撃、「Webからの脅威」へ対抗するための5カ条をご紹介します。

 

 

第1条 ソフトウェアは常に最新の状態で使用する
第2条 危険なサイトにはアクセスしない
第3条 不特定多数の人が使用するコンピュータでは個人情報の入力は避ける
第4条 正規のウイルス対策製品を導入する
第5条 Webレピュテーション(Webサイトの安全性評価)機能を搭載したウイルス対策製品を使用する

第1条 ソフトウェアは常に最新の状態で使用

 不正プログラムがWebサイト経由でダウンロードされる手法として、「ドライブバイダウンロード」があります。これは、悪意のある攻撃者によって細工が施されたWebサイトを閲覧しただけで不正プログラムが実行され、ウイルスに感染してしまうものです。ユーザーは、不正プログラムが実行されたことに気が付きにくいため、容易に「Webからの脅威」によるウイルス感染の連鎖に巻き込まれてしまう危険があります。

 この「ドライブバイダウンロード」を可能にする最大の原因が、セキュリティパッチ未適用の環境でのWeb閲覧にあります。この攻撃はブラウザの脆弱性(セキュリティホール)を狙ったものなので、OS、Webブラウザ、アプリケーションは常に最新の状態にアップデートを行い、セキュリティホールをふさいでおくことにより、ドライブバイダウンロードによるウイルス感染の危険は大幅に低減させることが可能です。

 そこで、Windows OS、Internet Explorer、Officeなどマイクロソフト社製品の自動アップデート方法を以下に紹介します。

1)[スタート]→[コントロールパネル]→[セキュリティセンター]を開き、[自動更新]をクリック

2)[自動 (推奨) (U)]を選択

 この設定により、OSおよびマイクロソフト社のアプリケーションが自動的にアップデートされます。

 ここでは、マイクロソフト社のOSおよびアプリケーションを例に挙げて説明しましたが、マイクロソフト社製品以外のアプリケーションについても、セキュリティを高めるためのパッチやサービスパックなどが提供されています。脆弱性を修正するためにも、利用しているアプリケーションは常に最新の状態に保つことが重要です。

第2条 危険なサイトにはアクセスしない

 「Webからの脅威」の被害に遭わないための方法として、「危険なサイトにアクセスしないようにする」ということがよく言われます。これは、ある意味そのとおりなのですが、「危険なサイト」とはどのようなサイトでしょうか。アクセスすると不正プログラムがダウンロードされたり、他の不審なWebサイトにアクセスを転送させたりするサイトが危険なサイトといえるでしょう。

 しかし、それらの危険性はアクセスする前に判断することができるでしょうか。違法なコンテンツを提供するようなサイトにアクセスしないといった対策は、ウイルス感染を未然に防ぐ一定の効果が得られるかもしれません。とはいえ、一見、不審なところが見当たらないWebサイトに危険が潜んでいるケースも数多く確認されています。例えば、正規のオンラインバンクのサイトに似せたフィッシング詐欺サイトなどは、一見してもその危険性を判断するのは難しいのではないでしょうか。以下のサイトは本物に似せたフィッシング詐欺サイトなのですが、みなさんこのサイトが正規サイトか不審なサイトか判断つきますか?

図1 UFJカードを騙るフィッシング詐欺サイト(偽サイト)の例

 いくつかのセキュリティベンダーでは、Webサイトの安全性をチェックできるサービスを提供しています。これらのサービスを利用し、安全性が確認できたWebサイトにのみアクセスする習慣をつけましょう。知人から送られてきたメールやメッセージ内に含まれるURLのクリックも、安全性の確認を行った後でアクセスするようにしましょう。知人が不正プログラムに感染しており、不正プログラムが知人に成り代わって、URLを含んだメールやメッセージを送信しているかもしれません。

 ここでは、米Trend Microが提供するサービス「Web Reputaion Query」を紹介します。

◆TrendMicro Web Reputation Query ? Online System (英文)
http://reclassify.wrs.trendmicro.com/

 利用方法としては、上記サイトにアクセスし、[Complete website:]にURLを記述→[Check Web Site]をクリックします。[Web reputation result:]に[This URL is currently listed as malicious.]と表示されたら、危険なWebサイトであり、アクセスをすべきではありません。

Web Reputaion Query

 

第3条 不特定多数の人が使用するコンピュータでは個人情報の入力は避ける

 インターネットカフェをはじめとして、不特定多数の人が使用するコンピュータでは、個人情報をはじめ、他人に知られたら困るような情報の入力は避けるべきです。なぜなら、それらのコンピュータでは、セキュリティ対策製品のインストールやアップデート、セキュリティパッチの適用などが十分に行われていない可能性があるからです。

 例えば、キーロガーと呼ばれる不正プログラムが動作している環境では、コンピュータ上でのキー入力操作が記録され、外部の不正サイトなどに送信されてしまいます。キー入力自体を記録しているので、例えばフリーメールのユーザー名、パスワード、オンラインバンクのログイン情報など、すべてのキー入力が外部に筒抜けになってしまう危険性があります。フリーメールをはじめとするサービスは、インターネットに接続できる環境さえあれば使用できてとても便利ですが、あらかじめサービスを利用するコンピュータを決めておき、十分なセキュリティ対策を実施する必要があります。

 以下の図(図2、図3)は、キーロガーに感染したコンピュータ上でログイン情報を入力(ログインIDとして「Trend」、またパスワードとして「eJ%wu4+s」を入力)した際に、その入力情報が外部の攻撃者に筒抜けになってしまう様子を表したものです。

図2 キーロガーに感染したコンピュータ。

 攻撃者のコンピュータからは、感染コンピュータでのキー入力情報が以下のように、ログに保存されます。

<Shift+T>REND[TAB]E<Shift+J><Shift+5>WU4<Shift+;>S

 Shiftキーだけでなく、ログインIDの入力欄からパスワードの入力欄に移動するためのTabキーの入力状況も保存されているので、パスワードが「eJ%wu4+s」だということが予想されてしまいます。

図3 攻撃者のコンピュータ

 

第4条 正規のウイルス対策製品を導入

 最近では、無料のウイルス対策製品も数が増え、インターネット上で入手できるようになっています。その一方、このような流れに乗じてか、偽のセキュリティソフトも多数出現しています。

 例えば、アダルト動画サイトなどで動画の再生を試みようとすると、「この動画を再生するためには、コーデックのインストールが必要です。」などのメッセージが表示され、プログラムのインストールを促されることがあります。コーデックとは、主に容量の大きい映像ファイルや音楽ファイルを圧縮/伸張するためのプログラムです。ユーザーが「OK」をクリックすると、インストールされるのはコーデックではなく、偽のセキュリティソフトという仕組みです。

 偽セキュリティソフトは、コンピュータ上でウイルス検索を行っているような画面を表示し、さらに複数の不正プログラムやスパイウェアなどが検出された旨のメッセージを表示します。また、さまざまなエラーメッセージを表示し、ユーザーの不安をあおります。そして、ウイルスをPCからクリーンアップするには、正規版にアップグレードが必要とのメッセージとともに、偽の購入サイトへ誘導し、ユーザーにクレジットカード番号などの入力を促すのです。ユーザーは、怪しいサイトを閲覧していた後ろめたさからか、クレジットカード番号を入力してしまうケースも少なくありませんが、入力した情報は外部に送信されてしまいます。

 技術的な手法ではなく、人間の心理や習慣などを悪用して情報の詐取を行う手法を「ソーシャルエンジニアリング」と言います。偽セキュリティソフトを使用した攻撃は、まさにこの「ソーシャルエンジニアリング」に該当するといえるでしょう。このような被害に遭わないためにも、正規のウイルス対策製品をインストールし、常に最新の状態にアップデートしておきましょう。

図4 偽セキュリティソフト「Antivirus XP 2008」

 

第5条 Webレピュテーション(Web評価)機能を搭載したウイルス対策製品を使用する

 これまで紹介した「基礎の基礎」を実施していたとしても、不正なWebサイトにアクセスしてしまう危険性があります。攻撃者は手を変え品を変え、ユーザーに不正プログラムをダウンロードさせて、不正Webサイトへの誘導を行います。それは、時には興味を引く件名の電子メール内に含まれるURLかもしれません。また、改ざんされた正規のWebサイトへのアクセスがきっかけとなることもあるでしょう。知人のインスタントメッセンジャーアカウントから送信されたメッセージ内に記載されたURLといったケースも考えられます。

 ここで紹介する「Webレピュテーション機能」とは、Webサイトの安全性を評価し、危険なWebサイトへのアクセスをコントロールする仕組みです。安全性の評価は、サイトの稼動期間、スパムメール配信の有無、過去に不正な目的に使用されていないかなど、さまざまな角度から実施され、評価結果がデータベース化されています。

 Webレピュテーション機能では、検索サイトの検索結果を評価することもできます。以下の図にある、赤の×印が表示されているWebサイトは、危険なサイトという意味です。攻撃者は、自身が作成した不正Webサイトを検索サイトでの検索結果で上位に表示させるなど、不正Webサイトへのアクセス件数を増やす工夫をしています。Webレピュテーション機能を使用していない場合、検索結果でヒットしたサイトが不正サイトとは知らずアクセスしてしまう危険があります。

図5 Webレピュテーション機能によるWebサイト評価結果

 Webレピュテーション機能によって、危険と判断されたWebサイトにアクセスを試みると、図6のようにアクセスがブロックされます。この機能により、ユーザーが不正サイトから不正プログラムをダウンロードするのを防ぐ効果があります。

 Webからの脅威においては、一度、きっかけとなる不正プログラムに感染すると、次々に他の不正プログラムがダウンロードされ、感染の連鎖から抜け出すことが非常に難しくなります。不正プログラムの入り口となる、不正Webサイトへのアクセス自体をコントロールすることにより、ウイルス感染の危険性を大幅に低減させることができるのです。

図6 Webレピュテーション機能によるアクセスブロック

 今回は、「Webからの脅威」全盛の中、安全にインターネットを使用するための基礎の基礎5カ条を紹介しました。


関連情報

2009/10/30 06:00


小松 優介
トレンドマイクロ株式会社サポートサービス本部コアテクノロジーサポートグループのThreat Monitoring CenterでSenior Threat Research Engineerを務める。国内のセキュリティ脅威動向の監視・調査のほか、顧客向け分析レポート作成にも携わる。