国内のWebサイトが不正アクセスを受け、改ざんされる被害が相変わらず続いている。中でも閲覧者をウイルスに感染させる目的で攻撃サイトへと誘導する改ざんが多発しており、警察庁やIPA(情報処理推進機構)などが感染防止対策をとるよう注意を呼びかけている。感染防止に最も効果があるソフトウェアのアップデートについて再確認し、実行していただきたい。
ウイルス感染を狙った改ざんでは、本来のWebページにiframeタグや難読化されたJavaScriptが埋め込まれ、閲覧者を外部のサイトへと誘導する。誘導先では、閲覧者のパソコンにインストールされているブラウザのプラグインを調べ、攻撃可能な古いバージョンを使用している場合には、脆弱性を悪用する細工したファイルを読み込ませる。攻撃が成功すると、ウイルス本体がダウンロード/実行されるという仕掛けだ。どんなウイルスに感染するのかは、攻撃者次第。偽セキュリティソフトのように、表だった動きで感染に気付くものもあれば、アカウント情報等を盗み取るウイルスのように、密かにパソコン内に潜伏し続けるものもある。
一連の攻撃の入口となるのは、改ざんされた一般のWebサイトだ。その中には、トヨタやリコーをはじめとする大手企業、神奈川県二宮町、沖縄県、石川県といった自治体、信用金庫、病院などの公式サイトや関連サイト、通販サイトといった、閲覧者の多いサイトも含まれている。いずれも、普段は何の問題もない安全なサイトであり、改ざん後も、見た目は普段と何も変わらない。そんなサイトが、突然ウイルス攻撃を仕掛けてくる危険なサイトに豹変してしまうため、「怪しいサイトには近づかない」というだけでは、ウイルス感染を防ぐことができない。閲覧しても攻撃されても、ウイルスに感染しない防止対策をとる必要がある。
警察庁では、ウイルスに感染しないために、次のような対策を推奨している。
(1)Webブラウザを最新バージョンにアップデートする
(2)Webブラウザにプラグインをインストールする各種ソフトウェアを最新バージョンにアップデートする
(3)Webブラウザおよび各種ソフトウェアの自動アップデートを有効にする
(4)Webブラウザおよび各種ソフトウェアが最新バージョンとなっていることを定期的に確認する
また、感染防止のための一般的な対策として、OSを最新バージョンにアップデートすることや、自動アップデートを有効にすること。セキュリティ対策ソフトをインストールし、定義ファイルを最新バージョンに保ち続けることも実施するよう勧めている。
■感染防止に効果絶大なソフトウェアのアップデート
改ざんサイト経由の攻撃では、閲覧者のパソコンにインストールされているソフトウェアの脆弱性を悪用し、悪質なプログラムを自動実行させようとする。警察庁の推奨対策は、これを阻止するためのものだ。
ターゲットとなるソフトウェアが最新の状態で悪用できる脆弱性がない場合や、ソフトウェアそのものがインストールされていない場合には、改ざんサイトを閲覧しても何も起こらず、ウイルスに感染することはない。ただし、一部の攻撃サイトの中には、脆弱性が攻撃できないと判断すると、ユーザー自身に直接ダウンロード/実行させようとするところがある。この場合は、ダウンロード前や実行前に「セキュリティの警告」が出るので、処理を中止すればよい。ソフトウェアのアップデートで自動実行を阻止するとともに、自身で実行してしまわぬよう注意していれば、めったなことではウイルス感染など起きないものなのだ。
現在行われている改ざんサイト経由でのウイルス感染は、ソフトウェアのアップデートとセキュリティの警告でキャンセルすることの2つを履行するだけで、100%防ぐことができる。攻撃サイトでの主な攻撃対象は、アドビシステムズ社のAdobe ReaderとFlash Player、オラクル社のJRE(Java Runtime Environment:Java実行環境)なので、この3つのアップデートは必ず行っていただきたい。
<Adobe Reader>
最新版は、5月15日にリリースされた、「11.0.03」(Adobe Reader XI)、「10.1.7」(Adobe Reader X)、「9.5.5」(Adobe Reader 9)。Adobe Readerを起動し、「ヘルプ」メニューの「Adobe Readerについて」を選択すると、使用中のバージョンが確認できる。最新版への更新は、「ヘルプ」メニューの「アップデートの有無をチェック」で行える。
なお、Adobe Reader 9は、バージョン9.5.5をもってサポート終了となっており、今後は脆弱性が見つかってもアップデートされない。9をお使いの方は上位のバージョン(Windows VistaはXが最上位)にアップグレードしていただきたい。下記リンク先で、使用中のOSで利用できる、最上位のAdobe Readerの最新版がダウンロードできる。
・Adobe Readerのダウンロード
http://get.adobe.com/jp/reader/
<Adobe Flash Player>
最新版は、6月12日にリリースされた「11.7.700.224」と「10.3.183.90」および、Google Chrome用の「11.7.700.225」。使用中のFlash Playerのバージョンは、下記のバージョン確認ページで確認できる。ブラウザによってプラグインが異なるので、複数のブラウザを利用している場合は、念のためブラウザごとに確認していただきたい。
Flash Player 10は、7月9日にサポートが終了する予定なので、古いバージョンをお使いの方は、「11.7.700.224」にアップデート/アップグレードしていただきたい。11の最新版は、下記のダウンロードページで入手できる。
なお、Flash Playerを内蔵しているGoogle Chromeについては、ブラウザの更新時に自動的に更新される。Windows 8搭載のInternet Explorer 10の場合は、Windows Update経由で更新される。
・Flash Playerのバージョン確認(アドビ)
http://www.adobe.com/jp/software/flash/about/
・Flash Playerのダウンロード(アドビ)
http://get.adobe.com/jp/flashplayer/
<JRE>
最新版は、6月19日にリリースされた「JRE 7 Update 25」(1.7.0_25)。使用中のJREのバージョンは、下記のバージョン確認ページで確認できる。最新版への更新は、バージョン確認ページでの確認後、または下記ダウンロードページで行えるほか、コントロールパネルの[Java]を開き、[更新]タブの[今すぐ更新]ボタンをクリックしても行える。
・Java のバージョンの確認(オラクル)
http://www.java.com/ja/download/installed.jsp
・Javaのダウンロード(オラクル)
http://java.com/ja/download/
■自動更新でも定期的な確認を
警察庁の推奨対策(4)は、ソフトウェアの自動更新を有効にしているユーザーが見落としがちな点だ。ソフトウェアによって、更新チェックや適用のタイミングに違いがあるため、自動更新機能を有効にすれば、手動で操作することなく自動的に最新バージョンに更新されるとは限らないのだ。
一部の自動更新は、システムを起動しないと更新チェックが行われなかったり、適用直前の再起動待ちの状態で自動更新が止まっていることがある。特にノートパソコンをお使いの方は、パソコンの終了時にシャットダウンを実行せず、電源ボタンを押す、蓋を閉めるといったやり方で終了している方も多いだろう。最近の機種でこのような終了方法をとると、たいていシステムを再起動しない状態が長期間続いてしまう(設定で変更可能)。スマートフォンやタブレットでは当たり前の終了方法だが、パソコン用のソフトの中には、こうした終了方法を想定していないものも多く、自動更新がいつまでたっても反映されなかったりする。
自動更新は、更新し忘れを防ぐ有効な機能ではあるが、任せきりにすることなく、たまには手動でチェックするよう心がけたい。
(2013/06/28 ネットセキュリティニュース)
【関連URL】
・改ざんウェブサイト閲覧によるマルウェア感染に関する注意喚起について[PDF](警察庁)
http://www.npa.go.jp/cyberpolice/detect/pdf/20130626.pdf
・ウェブサイト改ざんの増加に関する一般利用者(ウェブ閲覧者)向け注意喚起(IPA)
http://www.ipa.go.jp/security/topics/alert20130626.html