連載
» 2009年05月20日 10時00分 公開

Webからの脅威を“調べもの専用ブラウザ”で封じ込めろセキュリティTips for Today(5)(2/3 ページ)

[飯田朝洋,@IT]

攻撃者の視点で考えた「Webサイトで攻撃する理由」

 攻撃者の視点に立つと、攻撃にWebサイトを利用するメリットが非常に大きいのです。彼らのメリットは、おおむね次の2点に集約できるのではないでしょうか。

  • 企業・個人にかかわらず、多くのPCはWebサイトに接続できる環境にある
  • Webサイトを閲覧するユーザー心理は常に好奇心が高まっている

 この攻撃者側の2つのメリットから、次のことが考えられます。

●メリット1:企業、個人にかかわらず、ほとんどのPCはWebサイトに接続できる環境にある

 多くの企業では、社内のネットワークと外部のインターネットを接続している部分にファイアウォールなどを設置して、社内ネットワークのセキュリティを高めていることでしょう。具体的には、パケットフィルタリングという機能を利用し、社内外(Incoming/Outgoing)の通信を制御していると思います。

 そのため、通常であれば、社内PCから外部(インターネット)に対して、自由な通信はできないようになっています。企業のセキュリティポリシーで許可された通信のみ、外部のサーバとアクセスできます。

 このセキュリティポリシーは、企業のビジネスと密接な関係を保ちながら策定されますが、昨今のビジネスを踏まえると、ほとんどの企業においてWebサイトへの接続で使われる、HTTP通信を許可しているはずです。HTTPというプロトコルは、昨今のビジネスを支える重要な通信といっても過言ではないでしょう。そのために、HTTPの通信に限っては、いかなるセキュリティポリシーにおいても、ほとんどの場合止めることができません。

 また、個人に関しても同様のことがいえます。個人利用のPCからWebサイトが閲覧できない状況は、PCの利用価値を半減させてしまうといっても過言ではないでしょう。

 悪意あるユーザーはこのような背景を逆手に取り、セキュリティポリシーで許可されている通信を利用して、ユーザーに不正プログラムをダウンロードさせる手段として利用しているのです。

●メリット2:Webサイトを閲覧する際の“高い好奇心”から、クリックを誘いやすい

 攻撃者がマルウェアを侵入させるためにWebサイト(HTTP通信)を利用するもう1つのメリットは、ユーザーがWebサイトを閲覧する時の心理状態にあります。

 皆さんがWebサイトを閲覧する場面を想像してみてください。多くの場合、まず初めに新しい情報を知りたいという欲求があり、そのあと、検索サイトで所定のキーワードを入力し、目的のWebサイトを探し当てるという手順を踏むのではないでしょうか。

 Webサイトを閲覧するユーザー心理とは、自らが調べたい情報をインターネット上へ求め、積極的に行動に移した結果、目的のサイトへたどり着くという姿勢がそこにはあります。

 このようなユーザーの積極的な姿勢が強いと、検索サイトに表示されたサイトが仮に不審なサイトと疑えたとしても、そのサイトの閲覧を心理的に抑止することは難しいことです。

 また、一般的に名の通っている検索サイトを利用していた場合、検索結果に不審なサイトは表示されないだろうという気持ちがあるのかもしれません。

 このようなユーザー心理を逆手に取り、攻撃者は不正サイトをたくみに利用してマルウェア感染を狙うのです。

心理のすきを突く攻撃者の心理

 ここでユーザー心理をたくみに利用した事例を1つご紹介します。

 トレンドマイクロでは、有名な検索サイトで「christmas」、「gift」や「shopping」というキーワードを入力すると、その検索結果の上位に不正サイトが表示されていたことを確認しております。キーワードからも察しがつきますが、この攻撃があった時期はまさにクリスマスシーズンであり、多くの一般ユーザーを攻撃対象としている事例です。

【参考】

SEOポイズニング:不正サイトもSEO対策?

http://blog.trendmicro.co.jp/archives/1255


 正規Webサイトの改ざんや検索サイトの検索結果に不正サイトが表示されてしまうとなると、個人で気を付けてどうにかなるレベルでありません。やはり、正攻法の対策としては、セキュリティベンダから提供されている対策ツール・製品を導入していくことが重要になってきます。それに加え、いまからご紹介する「Webからの脅威」の被害を軽減させるTipsを参考にしていただければと思います。

 まずその前に、どのようなメカニズムにより、Webサイトを閲覧しただけでマルウェアに感染してしまうのか、知る必要があります。

 多くの場合、「ドライブ・バイ・ダウンロード」という手法が使われています。このドライブ・バイ・ダウンロードとは、Webサイトを閲覧したユーザーの許可なくマルウェアをダウンロードおよびインストール(感染)してしまう手法です。

 攻撃者がこのドライブ・バイ・ダウンロードを成功させるには、次のいずれかの要素が必要になります。

  • ブラウザの脆弱性を悪用して、マルウェアの感染を成功させる手口
  • ブラウザのセキュリティ設定が低く設定されていることを悪用して、マルウェアの感染を成功させる手口

 前者の手口であれば、適切にブラウザのアップデートもしくはセキュリティパッチを適用していれば未然に防ぐことができます【注2】

 また、後者については、脆弱性を突くわけではないので、ベンダから提供されるセキュリティパッチを適用していても防ぐことはできません。これは主にJavaScriptに代表されるスクリプト言語を利用します。ブラウザのセキュリティ設定でスクリプトの実行を有効にしていた場合、スクリプトをたくみに利用することで、マルウェアに感染する場合があります。

【注2】

ゼロディ攻撃のようにセキュリティパッチが存在しない間に攻撃されてしまうと、防ぐことが難しくなります。


Index

Webからの脅威を“調べもの専用ブラウザ”で封じ込めろ

Page 1

脅威はどこからやってくる?

Page 2

攻撃者の視点で考えた「Webサイトで攻撃する理由」
心理のすきを突く攻撃者の心理

Page 3

JavaScriptオフなら対策は可能だが……
華麗なる? ブラウザ二刀流
「ゾーン」という機能に頼らない理由


Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。