マルウエアの次のターゲットは正規の Web サイト

知らない人から送られてきた Eメールを開くのはセキュリティ上の大きな禁止事項であることは誰もが知っている。だが、取引のある銀行の Web サイトを訪れるのはどうだろうか。あるいはよく読んでいるビジネス誌のサイトだったら？

IBM が発表した新たな調査によれば、こうした行為でさえも Web 閲覧者にとっては危険の源となる恐れが増しているという。同社の『X-Force Trend and Risk Report』の最新版 (PDFファイル) は、企業の Web サイトが顧客をセキュリティ上の脅威にさらす危険性が増していると伝えている。これは、企業が更新パッチを適用してサイトを常に最新状態に保てないでいるからだ。こうした問題につけこめば、攻撃者は正規のサイトに易々とマルウェアを仕込むことができる。こうしたマルウェアは、個人情報を盗んだり、サイト訪問者のパソコンを乗っ取ってボットネットを作成したりする。

「特に Web アプリケーションの脆弱性が増しており、犯罪者がひそかにボットネット軍団を築くにあたって格好の標的となっている」と前出の報告書は指摘している。

IBM の分析成果は、攻撃者と情報窃盗犯がボットネットを拡大しユーザーのデータを獲得するために利用する手法が、さらに高度化しつつあることを示す最新の証拠だ。特にここ数か月で、攻撃者はその手口をさらに進化させ、正規の Web サイトの信用を悪用してマルウェアを散布する手法を用い始めている。

例えば BusinessWeek.com は2008年9月に攻撃を受け、数百にも及ぶページに SQL インジェクション攻撃を受け、Web サイトの背後にあるデータベースに悪意のあるコードを挿入された。BusinessWeek.com の事例では、コードは訪問するとマルウェアをダウンロードされる恐れがあるロシアの Web サイトにユーザーを誘導するというものだった。

IBM X-Force のレポートによると、適切なパッチが提供されていないツールが広く使われているために、こうした問題は増加しているおそれがあるという。2008年に明らかになった脆弱性のおよそ55％が既製の Web アプリケーションに関するもので、こうした Web アプリケーションに絡む脆弱性のうち74％は2008年末の時点でパッチが提供されていなかったと、同レポートは伝えている。

同レポートは、SQL インジェクションが最も多用される攻撃手法になったと指摘している。SQL インジェクションによる攻撃件数は134％増加し、クロスサイト スクリプティングを上回って Web アプリケーションにおいて最も悪用されやすい脆弱性となった。SQL インジェクションに対して脆弱な Web サイトへの攻撃は、1日平均で2008年前半には数千件程度だったが、2008年末になると数十万件規模に達したという。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール