神奈川大学 経済学部
2017年度経済情報処理

第22課 Web利用とセキュリティ

第22課の目標

↑経済情報処理(2017)ホームページに戻る

準備問題
mixiであなたの日記に知らない人からコメントがつきました。その中に外部サイトへのURLが書いてありましたが、そこをクリックして安全かどうか考えなさい。

1. Webページを開いただけではウィルスに感染したりしない?

現在のWeb技術では、動的なWebページを作るためにブラウザが実行するプログラム(JavaScript, VBScriptなど)やクライアント側で実行される小さなプログラム(Javaアプレットや ActiveXコントロール)などが多用されている。Javaアプレットは、セキュリティを確保するためにサンドボックス(砂場)という閉鎖環境で実行するようになっているためPC本体への悪影響は本来ない「はず」だが、実行用のシステム(Java VM)側が仕様通りに動いていないケースが過去何回か生じているので100%信頼するわけにはいかない。素性が知れないサイトに行くときは Javaの実行は許可しておかない方がよい。

現在では、Javaコントロールパネルでブラウザ内でのJava利用はまとめて禁止できる(禁止できないバージョンのJava環境はもう古いので使わない方がよい)。通常は禁止で、どうしても必要なサイトでだけ使えるようにするのが吉。

ActiveXはそもそもサンドボックス技術が適用されていないので、ActiveXから全システムに対するアクセスが可能である。たとえば悪いActiveXであれば、PC上のファイルを読んで片っ端からどこかに転送することだってできるということ。特に、何も考えずにインストールした Windows XPまでの Windowsでは、通常のユーザーが何でもできる管理者権限を持っているので、その権限で実行しているActiveXもなんでもできる(Vistaでは制限モードが導入された)。本当に信頼できるサイト以外ではActiveXの実行は禁止しておく方が無難。

スクリプトも、ファイルをダウンロードしたり実行したりできるので十分危険になりうる。怪しいサイトに行くときは実行しないようにしておいた方が無難(もっとも、最近のサイトはスクリプトまで禁止するとレイアウトが崩れてまともに表示できないところも多い)。

2. どんなサイトが怪しいのか

はっきり言って、どこが怪しいかは全くわからない。逆に言えば、ほぼ安全だとわかっているサイト以外は全部怪しいと思っていた方が無難。たとえば検索エンジンで出てきたサイトがどの程度信用できるかを事前に知っておく方法は実際問題としてない。いろいろな方法で検出しようとするシカケはあるが、時には誤検出したりもする(「Google ChromeやFirefoxが毎日新聞などを「不正サイト」としてブロック」)。

たとえば、SNSのように招待制のサイトであれば安全か? といえば、実はそんなことはない。SNSであっても規模が大きくなれば世間の悪党と同じ程度の比率で悪党が混じってくるのはある意味必然。たとえば、最近では日記検索機能を使ってコメントをつけ、ウィルスを送りつけてくるWebに誘導するような悪党が出ている。以下はその例。

mixiの日記に某オンラインゲーム関係の単語をちりばめただけのエントリを作成してみた
全く知らない人からコメントがつく。リンクがついているが、このリンクから得られるファイルを解凍しようとしてダブルクリックすると、悪質なプログラムがシステムにインストールされる仕掛け。釣りのエントリを書いてからわずか2時間
もう1件別のタイプのコメント。こちらは、リンクを開くとVBscriptでファイルをダウンロードさせ、同時にポップアップウィンドウを開く。ウィンドウを閉じるボタンを押すと、ダウンロードしたプログラムが実行される仕掛け。ちょっと手がこんでいる。

SNSの類いでもダメなもう一つのパターンは、開発者側の環境から入り込むパターン。最近だとFacebookやtwitterがこれを食らった(「Facebookのハッキングと、モバイル・アプリ開発者への水飲み場型攻撃と、Macのマルウェア」)。これは避けにくい。

最近のアンチウィルスソフトは、Webブラウザの通信を監視していて怪しいものがあるとブロックしてくれる機能を持っているケースが多いが、過信してはいけない。アンチウィルスソフトの基本的な対応は、パターンファイルでの検査なので、新手の悪党には対応できていない可能性もある。たとえば、上の例だと後者のシステムではスクリプトは悪質なプログラムとして検知したが、そのスクリプトがダウンロードするプログラムについては検知できなかったアンチウィルスソフトが複数存在した。

確認問題
自分のwebブラウズのパターンが安全かどうか検討しなさい

↑経済情報処理(2017)ホームページに戻る