安全なはずのサイトでウイルス感染？

　ウイルスなどの感染を防ぐには「怪しいサイトには近づかない」ことが重要だとよく言われる。しかしこの常識が通用しなくなっている。安心なはずの企業サイト、一般サイトを見るだけで、マルウエア（悪意のあるソフトウエア）に感染する例が出ているからだ（テクニカルライター・三上洋）。

企業サイト・一般サイトがターゲットに

　「怪しくないサイトにもマルウェアが忍び込んできている」

　こう語るのは、ネットワークとセキュリティー監視の大手企業・ラック（LAC）の新井悠氏（研究開発本部先端技術開発部部長）だ。ラックでは2007年12月に「2007年のネットセキュリティーのトレンドと今後の傾向と対策」というテーマで座談会を行い、その席で新井悠氏が最新のセキュリティー動向をレクチャーしてくれた。

　それによると、ウイルスなどのマルウエアの広がり方が大きく変わってきている。今までのウイルスは、ネットワークを通じて能動的に感染を広げるものが多かった。メールなどを通じて一気に大量感染するタイプだ。しかしこれらのウイルスは、ウィンドウズXPのSP2によってファイアウオールが標準的になったことなどにより、以前よりも被害は目立たなくなっている。

　それに対して、急激に増加しているのがウェブサイトを通じた感染だ。インターネットエクスプローラなどウェブブラウザーの脆弱性（外部から狙われる欠陥や問題点のこと）を突くもので、そのウェブページ（ホームページ）を見ただけで感染してしまう。しかも企業サイトや一般サイトで感染する危険性があるのだそうだ。

ウェブサイトで感染させるためのツールが出回る

ウェブサイトを経由した感染を助長するツールの例。サーバー側の脆弱性を突いてページを書き換え、不正なスクリプトを埋め込むために利用されている（出典元：ラックの座談会「2007年のネットセキュリティのトレンドと今後の傾向と対策」資料）

こちらはウェブサイト経由での感染を助長するツールに付属していた「ダウンローダー」の生成ツール。ダウンローダとは別のマルウェアを読み込むためのもので、ウェブ経由で感染させるために利用されている（出典元：ラックの座談会「2007年のネットセキュリティのトレンドと今後の傾向と対策」資料）

　犯人が狙うのは企業サイト、個人サイトなどの一般サイトで、書き換えるための専用ツールまで販売されている。右の画像はそのツールの例で、サイトで使われているプログラムの脆弱性を利用して、ページの中身を書き換えてしまう。

　「企業サイトなどが犯人によって書き換えられてしまうのですが、訪れたユーザーにはわかりません。見た目はまったく正常ですが、IFRMAEなどの方法で外部のサイトをいくつも経由させ、ボットなどのマルウエアに感染させるようになっています（新井氏）。」

　IFRAMEとはウェブページの中で、別のサイト・ページを参照して表示させるためのもの。例えば別のページにある表を見せる、広告を表示するなどの時に使われている。しかしこのIFRAMEを悪用すると、マルウエアを仕込んだ外部のページを読み込ませることができてしまう。しかもわずか1ドットの透明なエリアとして読み込むため、表示しただけでは一切わからない。正常なページをきちんと表示しているのに、裏では外部のサイトが読み込まれてマルウエアに感染してしまうことになる。

　このウェブページを書き換えるための補助ツールは、500ドルから1000ドル程度で販売されているそうだ。発見されたばかりの脆弱性をサポートするツールがあるほか、ウイルス対策ソフトでは検知できないことを売りにしているツールまである。これらのツールによって、2007年6月にイタリアで3000以上のサイトが書き換えられたほか、10月にはトルコでも4万ページ以上が被害に遭っている。

約32％がウイルス対策ソフトで検知できず

　それではウェブサイトを経由して感染するマルウエアはどのくらいあるのだろうか？　ラックでは専用のツールを使い、検索サイトでブラックリスト指定された10万URLを巡回して調査した（マルウエアが仕込まれている可能性のあるサイトがブラックリストに載っている）。

　約2週間の調査の結果、2万7755個ものウイルスを検出したそうだ。この数にも驚かされるが、さらに衝撃的なことがある。そのうちの約32％が未知のウイルス、つまりウイルス対策ソフトで検知・駆除できないものだったのである。ウイルス対策ソフトでも発見できないのであれば、一般ユーザーには手の施しようがない。

　発見できたウイルスを種類別にまとめると1921種類で、そのうちの約69％が未知のものだった。7割近くがウイルス対策ソフトで検知・駆除できないものだったわけで、これは深刻な事態といえるだろう。

　ウイルス対策ソフトは未知のウイルスにも対応する機能が進化してきており、2007年の夏ごろまでは検知率が大幅に向上していた。しかし9月以降は検知率が落ちてきており、未知のマルウエアが増えてきたことが伺える（ラックのセミナー資料による。出典元は総務省「次世代の情報セキュリティ政策に関する研究会」小山氏による資料）。ウェブ経由で感染するマルウエアは、検知できないものが目立って増えてきた。

ユーザー側の対策は「Javaスクリプト無効」だが‥

　日常的に見る企業サイトからも感染し、しかも対策ソフトでは検知できないものがある。ではユーザーはどう対策すればいいのだろうか？　これについて新井氏は、

　「ユーザー側としては、不正なスクリプトを実行させないようにJavaスクリプトを無効にするか、サイトによってJavaスクリプトの有効・無効を切り替えるプラグイン（補助プログラム）を使うといいでしょう。ただし全ユーザーができるわけではありませんから限界があります。根本的には企業や組織などウェブサーバー側での対策が必要です。不正に書き換えられないように要塞化し、監視する必要があります」

　と述べている。実際問題として、多くのウェブサイトがJavaスクリプトを使っており、無効にすると表示や操作ができなくなることもある。Javaスクリプトをすべて無効にするのは現実的ではないので、プラグインを使って切り替えるのが理想だろう。ただし一般ユーザーが補助プログラムを使いこなし、有効・無効を切り替えられるかどうかは疑問が残る。正直に言って、現時点でユーザー側での完全な対策は難しい。

　企業サイトのサーバー運営者、プロバイダーやレンタルサーバーなどが、不正に書き換えられないように厳重に対策することが求められている。