IPAは、毎月発表するコンピュータウイルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、2009年から猛威をふるうガンブラー攻撃などで、Webページを見ただけでウイルスに感染してしまうドライブ・バイ・ダウンロード(Drive-by-Download)攻撃とその対策を紹介している。また、最近のIPAへの届け出状況から、ワンクリック請求の状況も報告しよう。
ドライブ・バイ・ダウンロード攻撃とは
にわかには信じられない人もいるだろうが、Webページを閲覧しただけで、ウイルスに感染してしまう攻撃がある。ドライブ・バイ・ダウンロード攻撃と呼ばれる攻撃である。
図1 ドライブ・バイ・ダウンロード攻撃の例(IPA「今月の呼びかけ」より) |
ユーザーが悪意のあるWebサイト(不正なコードなどが仕組まれる)を閲覧することで、強制的にウイルスなどの不正プログラムがダウンロードさせられるものだ。ダウンロードには、OSやアプリケーションの脆弱性が悪用される。ユーザーがまったく気がつかないうちに、ウイルスのダウンロードが行われる。普通のダウンロードでは確認のダイアログが表示されるが、ドライブ・バイ・ダウンロード攻撃では一切表示されず、キャンセルもできない。ユーザー自身が「危ない」と感じることもないだろう。この点が、この攻撃の恐ろしさでもある。
ドライブ・バイ・ダウンロード攻撃の具体例
ドライブ・バイ・ダウンロード攻撃の具体的な事例を紹介しよう。まずは、ガンブラー攻撃である(こちらの記事も参照)が、正規のWebサイトを改ざんすることで行われる(図2)。
図2 ガンブラー攻撃の例(IPA「今月の呼びかけ」より) |
攻撃者が正規のWebサイトを改ざんすることで、悪意あるWebサイトへユーザーが誘導される(改ざんされた正規サイトに直接ウイルスが仕込まれることもある)。誘導されたWebサイトでは、不正なコードが仕込まれ、強制的なダウンロードが行われる。これまでに、有名な大企業のWebページも被害に遭っている。「有名企業だから安全」といった考えも危険なので注意してほしい。そして、2010年9月に報告された手口は、広告配信サービスを悪用したものである(図3)。
図3 広告配信サービスを悪用した例(IPA「今月の呼びかけ」より) |
ガンブラー攻撃のようにWebサイトが改ざんされたのではなく、Webページに表示されるバナー広告などが改ざんされたのである(広告データは別のサーバで管理される)。改ざんされた広告から、悪意あるWebサイトへと誘導される。あとは、ガンブラー攻撃と同様である。IPAによると、正規のWebサイトには、改ざん箇所を発見することができず、管理者側では対策が非常に難しいと指摘している。
PCユーザーの対策は?
管理者側の対策は困難な部分が多い。しかし、ユーザー側は、有効な対策が可能である。この攻撃では脆弱性が悪用される。つまり、脆弱性の放置をしないことが有効な対策となる。脆弱性の解消は、ベンダーなどからパッチや修正プログラムなどの形で提供される。最近では、自動的にアップデータが起動したり、最新版かどうかの確認機能を持つものもある。いずれにせよ、すみやかにパッチを入手し、OSやアプリケーションを最新の状態にしておくことだ。また、IPAの提供するMyJVNバージョンチェッカなどを利用してもよいであろう。
ダウンロードされるのはウイルスなどである。セキュリティ対策ソフトをインストールし、定義ファイルなどを最新の状態にすることで、気がつかぬうちにダウンロードが行われても、ウイルスなどをブロックすることができる。具体例でもふれたが、正規のWebサイトから悪意あるWebサイトに誘導されることが多い。セキュリティ対策ソフトによっては、悪意あるWebサイトを事前に検知して、ブロックする機能を有するものもある。これらを組み合わせることでも、ドライブ・バイ・ダウンロード攻撃から守ることができるであろう。ただし、未知のウイルスや正規のWebサイトから攻撃が行われる場合には、100%安全ともいいがたいので、この点は注意してほしい。
もし、ドライブ・バイ・ダウンロード攻撃でウイルスに感染してしまった場合、まずは、セキュリティ対策ソフトで検知・駆除を行う。しかし、状況によっては、うまくいかないこともありえる(未知のウイルスやウイルスに感染後にセキュリティ対策ソフトをインストールした場合、正しく動作しないことが考えられる)。IPAでは、このような場合、感染したウイルスを確実に駆除するには、PCを初期状態に戻すように推奨している。
ワンクリック請求の状況
今月の呼びかけでは、IPAに届けられた情報なども同時に発表している。今回は、一時期大きな問題となったワンクリック請求の相談件数を見てみたい(図4)。
図4 ワンクリック請求の相談件数 (IPA「今月の呼びかけ」より) |
2010年8月の935件をピークに、減少が見られる。11月は483件と2009年2月なみの数字に落ち着いている。とはいえ、ワンクリック請求を企む攻撃者は少なくないと思われる。ワンクリック請求はその手口に特徴がある。手口を確認したうえ(こちらを参照)、注意を怠らないでほしい。