- HOME
- >> コラム
- >> セキュリティの今を読み解く10のキーワード
- >> 第10回
第10回
Webブラウザのセキュリティ
文/勝村 幸博
2005年12月26日
修正プログラム適用が何よりも重要
ユーザーにとってインターネットへの“窓”となるWebブラウザ。そのセキュリティの重要性が最近特に高まっている。Webブラウザのセキュリティ・ホールなどを狙う攻撃がトレンドになっているためだ。
2005年10月初め,JPCERTコーディネーションセンター(JPCERT/CC)と日本ネットワークインフォメーションセンター(JPNIC)が開催したセキュリティ・セミナーでは,「クライアントを狙う攻撃が増えている」ことが強調された。ターゲットとなるのはセキュリティ・ホールがあるWebブラウザを使用しているユーザーだ。Webブラウザに深刻なセキュリティ・ホールがある場合,細工が施されたWebページを閲覧するだけで,ウイルスをはじめとする悪質なプログラムを,勝手に実行させられる可能性がある。
有名サイトに“罠”が仕掛けられる場合も
図1 間接的にWebブラウザを狙う攻撃が増えている
攻撃者はまず,有名サイトに侵入して“罠”を仕掛ける。セキュリティ・ホールがあるWebブラウザでそのサイトへアクセスすると,ウイルスなどをダウンロードおよび実行させられる。
表1 “罠”を仕掛けられた国内サイトの例
2005年5月に相次いで確認され,大きく報道された。侵入されたサイトは顧客情報の盗難といった被害に遭うだけではなく,アクセスしたユーザーに被害を与える加害者にもなる。
「攻撃者が運用するWebサイトにセキュリティ・ホールを突くウイルスを置いて,そのサイトへユーザーを誘導する」といった攻撃は以前から行われている。ところが最近では,攻撃者が有名なサイトへ侵入して,ウイルスをダウンロードさせるコードを仕掛けるケースが増えている(図1)。昨日までは問題なくアクセスできていたサイトが,突如として危険なサイトへ変わってしまう。以前は「信頼できないサイトへはアクセスしない」ことが有効な対策となったが,そういった常識も崩れつつあるのだ。実際,2005年5月には,「価格.com」や「OZmall」といった有名サイトに,相次いで“罠”が仕掛けられた(表1)。
図1に示したように攻撃は二段構え。攻撃者はまず,Webサイトへ不正に侵入する。Webサーバーに侵入すると,攻撃者はWebページを改ざんして,ウイルスをダウンロードさせるコードを挿入する。ユーザーがページを見るとウイルスがブラウザのセキュリティ・ホールを悪用して感染してしまう。2005年5月に頻発した事件では,「Outlook Express用の累積的な修正プログラム(837009)(MS04-013)」を突くウイルスが仕掛けられた。
このWebページをセキュリティ・ホールが存在する*Internet Explorer(IE)で閲覧すると,コードが実行されて,コード中に記述されたWebサイトへ勝手にアクセスさせられる。そして,サイトへ置かれたウイルスをダウンロードしてパソコン上で実行してしまう。
Webページを閲覧するだけで悪用されるようなセキュリティ・ホールは「MS04-013」だけに限らない。「MS04-013」は2004年4月に公表されたものだが,最近も似たようなセキュリティ・ホールが複数見つかっている。また,セキュリティ・ホールはFirefoxなど,ほかのWebブラウザでも発見されている(表2)。
表2 最近報告されたIEおよびFirefoxの深刻なセキュリティ・ホール
*Internet Explorer で閲覧すると
Outlook Express のセキュリティ・ホールだが,IEからも同じコンポーネントを利用するため,影響を受ける。
この連載のバックナンバー
- Webブラウザのセキュリティ (2005/12/26)
- Webアプリケーションのセキュリティ (2005/12/22)
- 携帯電話のセキュリティ (2005/12/21)
- 迷惑メール対策 (2005/12/20)
- 検疫ネットワーク (2005/12/19)
