SQLインジェクション、クロスサイトスクリプティング(XSS)…これらのクラッキング手口の存在が明かになったのは、10年近く前のことだ。にもかかわらず、これらの攻撃手法はオブソリートになるどころか、以前にもまして凶暴性を帯び、世界中のWebサイトをはげしく襲撃している。なぜSQLインジェクションはなくならないのか、そして企業は攻撃者たちからどのようにして自社サイトと顧客/ユーザを守ればよいのか - 3月19日、2月に発行したホワイトペーパーをもとに、シマンテックが報道関係者向け説明会を行った。

Web攻撃を含むクラッキングの主流が単独愉快犯的なものから組織的な金銭奪取にシフトしていることは、すでに周知の事実だ。とくにブラジルやロシア、旧東欧諸国などでは、大規模な被害の報告が相次いでいる。

シマンテック セキュリティレスポンス シニアマネージャ 浜田譲治氏

金銭がらみの犯罪は、やはり企業がターゲットになる。ここ最近のWeb攻撃もまた、明らかに企業の正規サイトを狙ったものが多いという。「正規サイトがターゲットとなっている理由は3つある。ひとつは一般ユーザからアクセスを多く得られること、さらにそれらのユーザが"正規サイトだから"とアクセス行為に警戒心をもたないこと、そして企業サイトがより高度化する傾向にあるため、それに伴って脆弱性も増していることが挙げられる」とシマンテック セキュリティレスポンス シニアマネージャ 浜田譲治氏。とくに3点めのサイトの高度化/複雑化が脆弱性を伴うという指摘が興味深い。「たとえば広告などが掲載されれば、それがセキュリティホールになりうる。こういった他のドメインからのコンテンツを含む場合、サイト運営側のコントロールが困難になる」(浜田氏) - シマンテックの調査によれば、2008年にはワールドワイドで80万8,000ドメインが攻撃の対象になったという。「優良サイトのみをアクセスしていれば安心という考え方は、もう通用しなくなっている」(シマンテックレポート)のだ。

Webサイトを狙った攻撃手法としては以下の6つが代表的なものとして挙げられる。

  • SQLインジェクション攻撃
  • 悪質な広告
  • 検索エンジンの結果のリダイレクション
  • バックエンドの仮想ホスティング会社に対する攻撃
  • Webサーバまたはフォーラムホスティングソフトウェアの脆弱性
  • クロスサイトスクリプティング攻撃

シマンテック グローバルコンサルティングサービス ジャパンでプリンシパルコンサルタント アイザック・ドーソン氏氏

とくにSQLインジェクションは先に述べたとおり、古くから存在する攻撃手法にもかかわらず、その脅威はまったく衰える気配を見せない。シマンテック グローバルコンサルティングサービス ジャパンでプリンシパルコンサルタントを務めるアイザック・ドーソン氏は「いくら技術者を支援する情報が揃っていても、それを広める以上のスピードで、Webサイトの脆弱性が増大し続けている。しかも、さまざまな(悪質な)ツールの普及で、脆弱性を発見することがより速く簡単になってきている」と語る。セキュリティの重要さを企業の幹部がはっきりと認識し、技術者やユーザへの教育を実施しても、そういった努力をはるかに上回るスピードで、クラッキングの新たな手法が日々大量に編み出されているという。「残念ながら、こういった脅威を甘く見ている企業も、いまだ多い」(ドーソン氏)

もうひとつ、Webを利用した攻撃として看過できないトレンドが「ドライブバイダウンロード」だ。改竄されたWebサイトを利用する手法で、攻撃者サイトにリダイレクトし、ブラウザの脆弱性を利用してマルウェア(ダウンローダ)をしのばせ、別サイトからスパイウェアをダウンロードさせるという巧妙な手口だ。優良サイトを信じ切っているユーザにはまさしくなすすべがない。

シマンテック エンタープライズセキュリティプロダクトグループ テクニカルプロダクトマネージャ 池永章氏

こうした攻撃に対してシマンテックはいくつかのソリューションを提唱している。シマンテック エンタープライズセキュリティプロダクトグループ テクニカルプロダクトマネージャ 池永章氏は「通常のセキュリティ対策では"既知"の脆弱性にしか対応できず、"未知"の脅威には対応できない。また、内部に存在する悪質な利用者をブロックすることも難しい」とした上で、「単なるアンチウィルスソフトではなく、本来あってはならない動きを監視・通知するシステムが必要」と説く。このための代表的な製品が「Symantec Critical System Protection」だ。また、自社サイトにアクセスしてきたエンドユーザを保護するための製品としては「Symantec Endpoint Protection」がある。

また、Webサイトやアプリケーションの脆弱性を検査する診断サービスも提供している。脆弱性を洗い出すためのテスト項目を大きく3段階(ホワイトボックス/グレーボックス/ブラックボックス)に分け、顧客の状況/要望に合わせて診断を行う。診断にかかる時間は1、2週間から2、3カ月。ドーソン氏によれば、同テストは自動化と手動分析を組み合わせて実施されるという「すべてのテストを自動化すれば時間的に効率よく行えるかもしれないが、自動化だけに100%頼るのは危険。とくにソーシャルエンジニアリング攻撃(ユーザをだまして何らかのアクションを取らせ、マルウェアに感染させる攻撃)は、スキャナなどでは評価しきれない」(ドーソン氏)

だがセキュリティにおいて最も重要なのはユーザ企業の意識だとドーソン氏は言う。「教育こそが最も重要で効果的な対策方法だ。しかし、深刻に受けとめている企業は多いとはいえない」(同氏) - SQLインジェクションをはじめとするWeb攻撃が陳腐化するのはまだ当分先のようだ。