第４回　拡大するＷｅｂからの脅威

インターネットに隠されている悪意

図１

　悪意あるソフトの脅威は「メールを利用した悪意の配布」から、「インターネットアクセス全般を悪用しての配布」に移行してきています（図１参照）。

　その典型例がHTML通信技術の悪用です。これはＷｅｂ閲覧などで使われるHTML通信を「悪意をもってユーザー誘導する」ために使うものです。

　セキュリティソフトのスキャン機能は、ユーザーに届いたメールからリンク先を開く行為を防御しきれません。

　このため、SNSやその他のＷｅｂにアクセスした際に受け取るさまざまなメッセージの交換情報に含まれているリンク先への誘導に対して、これを開く行為を防ぎきれないのです。

　また、ウイルス感染やボット感染を連絡する親切メールのふりをして、悪意をもつソフトを仕掛けたリンク先へ誘導するなどの攻撃も増えています。

　これらのリンク先にアクセスすると、HTML技術を介した内部からの正常アクセスとして見なされ、起動者の情報端末へ悪意あるソフトが侵入します。このため阻止が難しいという特徴を持ちます。

図２

　最近は、「ドロッパ」や「ダウンローダ」と呼ばれる悪意を呼び込む種の侵入が見られます。（図２参照）。

　侵入後は、悪意あるソフト群をどんどん呼び込みます。その結果は「悪意を働く工場」の誕生となります。

　グーグルの提供する地域依存SNSで「Orkut」を介して、悪意のあるＷｅｂ上の実行ファイルが配布された事件が2007年におきました。これも、インターネットを介したアクセスによる脅威拡大の一例です。

HTML通信の悪用例

図３

　HTML通信を悪用したウイルス例としては「Sobe」があります。

　これは、「大量に悪意のあるメールを送信」します。

　この亜種に「Win32/Sober.Z@mm」があります。この悪意あるメールから、起動してしまうと、内部に悪意あるソフトが侵入します。

　そして、そのソフトがＷｅｂアクセスとして複数のＷｅｂサイトからどんどん悪意あるソフトを呼び込みます。

　感染から数分で隠蔽のための圧縮変化ソフトを呼び込んだり、次の悪意のためのアップデートソフトを取り込んだりします。

　そして、2週間程度の間隔で起き上がり、追加のＷｅｂをふくめて、悪意あるソフトを追加ダウンロードしていきます。

　そして、その都度ダウンロードしたソフトの指示により次々と悪意を遂行します。

　しかも、これが発展してボットのような上位統制集団活動を働く可能性もあります。（図３参照）。

　日本では、PE_BOBAXが2007年10月のレポートに、ボットのファイルとして広がっていることが示されています。これはHTML通信を開くことで感染するソフトでメールを大量に配信して、増殖します。

　また、標的攻撃（スフィア攻撃）という特定企業を狙う攻撃においても、HTML通信の悪用が増えています。

対策のキーワードはレビュー

図４

　対策のキーワードは「レビュー（再検査）」です。

　「re-view」とは、再検査、調べ直し、検閲という意味を持ちます。

　開いても安全なリンク先か、メールかを、開ける前に再度チェックをかけてリスクを減らすことが、有効なセキュリティ対策として最近は推奨されています。

　むろん、知らない人からのメールは開けない、不必要に添付ファイルや、リンクを開かないなどは、企業においては常識とされてきました。

　しかし、正当なＷｅｂページや正当なメールになりすました物を見破るのは大変です。

　これを事前に検閲するものとして、開こうとしているＷｅｂの信頼度を事前に表示する技術が使われはじめています。フィッシング詐欺の検出機能や、コンテンツアドバイザーがこれにあたります。

　知らないで悪意のあるソフトを実行しても、悪意を実行するためのパソコンの基本設定の書き換えを検出して、侵入しようとしていることを検閲する手法も使われ始めています。

　これをウイルススキャンに加えた端末の運用が求められています。また、コンピュータを最新状態にすることで発見したセキュリテイホールをふさぎ、ウイルス検出ソフトのウイルスデータベースを最新に保つといった従来型の対策も依然重要です。

　さらに、外部のどこと通信したか、外部サーバとの通信の振る舞いを前後で比較する行動監視での感染検出技術の応用も期待されています。

　HTMLでの通信は、どんどん付加価値を生んでいます。ワープロソフトがそのファイルにウイルスが出たといって使うことをやめることが無かったように、良い面を使いこなした人の勝ちです。

　問題点を克服する運用がワープロソフトでも一般化したわけで、インターネットアクセスも問題に対し、みんなの知恵をインターネットで交換し合い、乗り切ることがもとめられています。