「ハッカーが次に仕掛けるのはブラウザベースの攻撃」：CompTIAが報告

　ブラウザを悪用したセキュリティの脅威が増加しており、IT運用上の次の重大なリスクになるかもしれないと、ある技術業界団体が指摘した。

　Computing Technology Industry Association（CompTIA）は米国時間12日、ITのセキュリティと労働力に関する2回目の年次調査報告を発表した。CompTIAは、900社近い企業を対象にこの調査を実施し、各社にセキュリティ上の関心事を15項目ずつ挙げさせた。その結果、過去6カ月以内に少なくとも1回はブラウザベースの攻撃を受けたことがあると答えた企業は全体の36.8％に上った。ちなみに、昨年の調査では25％だった。

　CompTIAのITディレクターRandall Palmは、「ブラウザベースの攻撃は当然の進化だ。われわれがうまく攻撃を防止できるようになるほど、ハッカーのほうでも頭を使い、新手の攻撃を仕掛けてくる。10年前には、大半のウイルスがフロッピー経由で感染していた。その次に来たのが電子メールとインスタントメッセージング（IM）ソフトウェア経由のものだ。そして、これからはブラウザがターゲットになる」と語った。

　一般的なブラウザベースの攻撃は、ユーザーが一見無害に見えるウェブページにアクセスところから始まる。だが、このぺージには実は攻撃用のコードが隠されており、コンピュータを故意に破壊したり、プライバシーを侵害したりする。攻撃のタイプは、単純にブラウザを破壊するだけのものから、個人情報の盗難や機密データの消失につながるものまで、さまざまだ。

　ウェブページに人をおびき寄せるのに最もよく使われるのが、悪質なウェブサーバへのリンクを記載した電子メールを送る方法だ。通常は、ユーザーがリンクをクリックするまで攻撃は始まらないため、多くのファイアウォールはこれを検知しない。従来のファイアウォールはネットワークに入ってくるトラフィックを検査するが、ブラウザ攻撃を防ぐためにはネットワークから出ていくトラフィックも検査する必要がある。

　一部の企業ではブラウザベースの攻撃を阻止すべく、企業のウェブ利用状況を監視管理するSurfControlやWebsenseといった新興企業の製品を導入している。Check Point Software TechnologiesやNetScreen Technologiesといったファイアウォールベンダーも、製品に対策機能を追加している。しかしPalmは、問題を排除するまでの道のりは長いと語る。

　「流入してくる脆弱性に対応することだけが、Check PointやNetScreenの狙うビジネス領域ではない。このような脅威への対策については、どのファイアウォールベンダーも反撃の準備を整えているところだ」（Palm）