「弊社のWebサイトに不正アクセスがあり、お客様がウイルスに感染した可能性があります」――2008年は、国内企業のWebサイトにこうした案内が掲載される事件が多数発生した。被害に遭った企業の多くは、「なぜ、うちが狙われたのか！」「改ざんにまったく気が付かなかった」といった感想を抱いた。サイトを訪れたユーザーも「まさか、そんなはずでは……」と、信用して閲覧したはずのWebサイトでマルウェアに感染した事実を受け入れられなかった。

　正規のWebサイトを改ざんして訪問者をマルウェアに感染させる手法は、以前にも存在していた。しかし、この手法を用いた攻撃は2007年から増加し始め、2008年は日本を含めた世界中のWebサイトが大規模な攻撃に巻き込まれた。

　攻撃者は、SQLインジェクションに代表されるWebサーバの脆弱性を突いて不正アクセスを試み、サイト内にマルウェアをホストした別のWebサイトへのリンクを埋め込む。改ざんの痕跡は、PC画面上に「ドット」などわずかな形でしか表れず、訪問者にもサイト管理者にもほとんど気付かれることがない。訪問者がサイトを閲覧している間、ブラウザには度重なるリダイレクトによって無数のマルウェアが送り込まれ、ついには「ボットマシン」と化してしまう。

　原因を特定しようにも感染経路が無数に存在し、仕掛けた張本人を特定するのは事実上、不可能に近い。2007年末に「密かに、そして確実に」と予見した2008年の情報セキュリティの脅威は、まさにこの通りとなってしまった。

●SaaSでも提供する攻撃ツール

　従来のサイバー攻撃は、コンピュータの知識に長けた人物が自身の腕を試すことを目的に仕掛けることがほとんどだった。しかし、現在ではPCの普及やサービスの多様化で、ユーザー個人に関わる重要な情報がPCに蓄積されるようになり、攻撃者の目的も「自己顕示型」から情報を盗み出す「情報標的型」へ移り変わっていった。

　盗まれたユーザーの個人情報は、「なりすまし」などのさらに別の目的に悪用される。個人情報はアンダーグラウンド市場で売買され、クレジットカード番号などの情報は高値が付くケースも多いという。米Symantecの調査によれば、アンダーグラウンド市場の経済規模は2億7600万円（1ドル90円換算で約248億円）以上になる。

　さらに、アンダーグラウンド市場では盗み出された個人情報に加えて、「MPack」のようなマルウェア作成ツールや攻撃キット、攻撃対象先リストが数ドル〜数百ドルほどで売られている。こうした攻撃キットは、GUIによって初心者でも簡単に利用できるものや開発者によるサポートが付属されたものまである。

　ラック・サイバーリスク総合研究所の新井悠氏によると、「TURKOJAN」というマルウェア作成キットではブロンズ／シルバー／ゴールドと技術レベルに応じた3段階のサポートが付属して99〜249ドルで販売されているという。さらには、月額50ドルで攻撃者の希望に応じた攻撃キットを作成したり、ボット感染PCの情報を提供したりするSaaS型のオンラインサービスも登場している。

　もはやサイバー攻撃は、アンダーグラウンド市場に関する知識を持っていればPC初心者でも簡単に実行できてしまう状況になり、ユーザーにとっては従来以上に身近な問題となりつつある。

●PCの周りは“偽物天国”

　ユーザーにマルウェアを感染させたり、個人情報を盗み出したりする手口は、正規サイトの改ざん以外にスパムやフィッシング、偽ウイルス対策ソフトウェアに代表される「ミスリーディングアプリケーション」、検索サービス、ソーシャルネットワーキングサイト（SNS）などを用いて、複合的に仕掛ける傾向がますます強まっている。

　スパムはすでに全電子メールの流通量に占める割合が、8割以上とも9割以上とも言われ、内容も多種多様化している。近年までは、健康商品やアダルトなどの「怪しげな物品」を告知するものや、クリスマス商戦などに便乗して大量配信される「Storm Worm」が中心だった。スパムには、WordやExcelなどのドキュメントファイルを装う不正ファイルを添付して、ユーザーのマシン上で実行させていた。しかし、こうした手口は、ユーザーへの認知度が高まるにつれ、減少しつつあるようだ。

　2008年は中国・四川大地震や北京五輪、米大統領選挙などの世界的な事象を悪用するものやでっち上げのニュース、さらには実在する企業や公共組織の商品やサービスをかたるものが増加。スパムから正規サイトを模倣したフィッシング詐欺サイトにユーザーを誘導し、サイト上でマルウェアに感染させようとする。

　また、Webの正規サービスを悪用するものでは、GoogleやYahoo!の検索結果や検索連動型広告を悪用したり、SNSのFacebookやMySpaceなどでは知人の名前をかたったメッセージを送信したりして、ユーザーをマルウェア感染サイトに誘導する手口が目立った。攻撃者は、YouTubeのビデオファイルやSWFファイル、PDFファイルなどに偽装した不正プログラムをダウンロードするようユーザーに働きかけて感染拡大を試みる。

　Webやスパムを通じて感染するマルウェアの中には、セキュリティ対策ソフトウェアを装うミスリーディングアプリケーションも多数出回っている。こうしたマルウェアは、「Antivirus XP 2008」などの名称をかたり、ユーザーのマシン上で「マルウェアに感染しており、駆除するには購入しなければならない」といったメッセージを表示してユーザーを恐喝する。実際に金銭を搾取しようとするばかりではなく、新たなマルウェアをマシンにダウンロードしたり、ユーザーの個人情報を攻撃者に送信したりするなどの行為も働いている。

　ラックの新井氏は、ミスリーディングアプリケーションによる感染が広がる背景として、「Windows Vistaに搭載されたUser Account Control機能のように、OSレベルのセキュリティ機能が強化されことで、正規ソフトウェアのように見せかけてセキュリティ機能での検知を回避する試みがされているようだ」と解説する。

　こうしたマルウェアは、特定の言語環境でのみ動作するものや、仮想化環境では実行しないよう設定されたもの、OSの復元設定を強制的に変更して排除されないようにしたものなど、高度な仕様を持つものが存在するという。

　また、シマンテックのシニアセキュリティレスポンスマネジャー、浜田譲治氏によればミスリーディングアプリケーションの作成キットもアンダーグラウンド市場で多数販売されている。「2年ほど前からGUI化や低廉化で誰でも悪用できるようになり、今では毎日数十種類が新たに登場し、日本語化されているものある」と浜田氏は話している。

●感染源は周辺機器にも

　世界的にはマルウェアの感染経路がWebやスパムが主体になっているとみられるが、国内ではハードウェア製品から感染するケースも急増している。特にUSBメモリなどの可搬型記録媒体で感染を広げるタイプが、8月以降増加の一途をたどる。

　トレンドマイクロの観測では、可搬型記録媒体で感染を広げるマルウェアは2005年頃から存在したが、2008年1月から報告が増え始め、12月現在では報告数が最多になった。同社によれば、USBメモリの使用は特に日本を含めたアジア地域で普及しているといい、アジア地域に出張や旅行などで渡航した人物が持ち込んでしまうケースが予想された。しかし、11月には欧米地域でも感染が拡大傾向にあるとして、米US-CERTなどが警戒を呼び掛ける状況になった。

　このケースでは、まず複数のマルウェアに感染しているPCに可搬型記録媒体が接続されると、媒体内にマルウェア自身のコピーを密かに埋め込む。ユーザーが気付かずに、別のPCへ感染した媒体を接続してしまうと、そのPCの自動実行機能を利用して感染を広げるという具合だ。

　ラックの新井氏が解析したところによれば、可搬型記録媒体で感染を広げるマルウェアはボットと同様の機能を備えていることが分かった。単に感染を広げるだけでなく、感染PCの乗っ取りや異なるマルウェアのダウンロードといったさまざまな攻撃を実行できる機能を有しているという。

　このほかにも、ユーザーが購入したハードウェア製品にマルウェアが混入し、PCに接続した時点で感染を広げるケースも相次いで報告された。この場合では、生産管理用のPCがマルウェア感染にして、製造段階で製品に混入するケースが多いとみられている。

●2009年には「集合知」の活用が鍵？

　それでは、2009年にはどのような脅威が予想されるのだろうか。シマンテックの浜田氏は、「2008年に見られた手口がより洗練化し、数が急増するだろう」と話す。

　F-Secureが報告しているように、2007年以降は新出のマルウェア数が激増している。その背景には、マルウェアの作成や攻撃が初心者でも容易にできるようになっていることや個人のデジタル情報がアンダーグラウンド市場で金銭につながることが周知されたことによると推定される。

　浜田氏は、特に金融危機に伴う社会的な不安を逆手に取る手法が激増すると予想する。具体的には、「住宅ローンの負担が軽くなる」「失業者がすぐに就職できる」といったうたい文句で、金銭や個人情報を搾取したり、犯罪自体に勧誘したりするものが想定される。

　正規サイトに対する攻撃やなりすまし、SNSなどを悪用する攻撃もさらに急増するとみられる。ラックの新井氏は、「アプリケーションやサービスの窓口がブラウザという単一のインタフェースに集約され、攻撃者が集中的に攻撃するだろう」と話す。OSやアプリケーションの脆弱性を突く手口では、マルウェアを正規のアプリケーションやプラグインに偽装するケースが増加すると予測される。「初心者では判断できず、分かりやすく判断できる新たな対策手法が必要。もはや悪徳犯罪ともいえ、法的、社会的対策も検討すべきだ」（新井氏）

　次から次に現れる脅威を100％防ぐのは非常に難しいが、従来から推奨されてきた以下の対策は被害を最小化するために、必ず徹底したいものだ。

・ウイルスやスパイウェア、スパムなどに備えた統合セキュリティ対策ソフトウェアを活用する。
・OSやアプリケーションのセキュリティパッチを適用して最新の状態を保つ。セキュリティ対策ソフトウェアのパターンファイルを最新のバージョンにする。
・作成者や配布元などが明らかではないファイルや電子メールは開かない。メールなどにある不審なリンクにはアクセスしない。
・所有者が不明なUSBメモリやメモリカード、外付けHDDなどは使用しない。OSの設定を変更して、自動実行機能を無効にする。
・IDやパスワードはこまめに変更して、推測が困難な内容を心がける。

　さらに、一部のセキュリティ企業では新たな脅威への防御を迅速に行うためのサービス構築を進めている。従来の対策では、脅威が発見されると分析を行って、駆除のためのパターンファイルをユーザーに配布していた。新たなサービスは「レピュテーション」（評価）情報を活用するもので、世界中のユーザーから寄せられた脅威が疑われるURLやメール、ファイルなどの情報を評価・分析し、データベースに登録する。別のユーザーはリアルタイムにデータベースの評価を確認し、脅威になるものであるかどうかを迅速に判断できるという仕組みだ。

　レピュテーション技術は、コンシューマー向けの統合セキュリティ対策製品で各社が一斉に導入（一部機能を従前から実装するケースもある）。企業向けサービスでも、最新バージョンの製品から標準機能として実装されつつある。

　ユーザーを狙う攻撃がますます潜在化、複雑化する今後は、新しい脅威に関する情報をいち早く入手し、システムを防御していく対策の活用が重要になるとみられる。
（ITmediaエンタープライズ、YAHOO!JAPAN）