google Webブラウザの脆弱性悪用攻撃を防ぐには?
質問:パッチを当てること以外に、Webブラウザの脆弱性を突いた攻撃を回避する効果的な方法はあるか。
セキュリティは層の厚さがものをいう(技術的、手順的な層を含む)。これ1つで万全といえる手段は存在しない。
パッチもこれに含まれる。ではそのほかに何をすればいいのか――良い質問だ。
まず、自分が選んだWebブラウザの最新版を利用すること。これによって累積パッチだけでなく、利用可能なセキュリティ機能をすべて確実に入手できる。フィッシング対策フィルタを利用すれば、正規サイトの悪質なクローンをユーザーが見てしまう確率が減り、セキュリティが向上する。
また、主要なWebブラウザはすべて、プラグインで機能を拡張できる。しかしこうしたプラグイン(例えばPDFやFlashのビュワーなど)が脆弱性を引き寄せたり、悪質な性質を持っていることもあり得る。インストールしたプラグインがすべて必要なもので、最新版でかつ更新されているか確認する必要があるだろう。
どうしても必要な場合を除き、アプリケーションを管理者権限で実行しないことも保護レイヤーの1つになる。Webブラウザでのアクセスに管理者権限は必要ない。ユーザーアカウントに管理者権限があれば、実行されるアプリケーションはすべてその権限を持ち、OSを変更することもできてしまう。
管理者権限のないアカウントを使えば、トロイの木馬やアプリケーション悪用コードの多くは完全実行を阻止できる。OSでレジストリキー変更の許可を与えられていなければ、ひそかに起動したアプリケーションも同じ制約を受ける。
利便性の問題から、エンドユーザーが管理者権限を持っている場合も多い。しかし、意図した変更を必要に応じて実行する目的で(それが害になることもある)、たとえ管理者アカウントが利用できるとしても、予想外の被害に遭う件数は減るだろう。
次に、Webトラフィックを監視して悪質な行為を見つけ出し、うまくいけば食い止めてくれるホストベースの侵入検知システムを検討する。この分野である程度の機能を備えたエンドポイント保護製品も多いが、その効果はベンダーによってかなり差がある。悪質なWebサイトにアクセスすれば、Webブラウザがスクリプトや実行可能ファイルをダウンロードして実行してしまうかもしれない。この場合、ウイルス対策製品が助けになり、こうした脅威を見つけ出して遮断してくれるはずだ。
ホストから離れると、プロキシの利用もWebブラウザのセキュリティを守る手段となり得る。また、Webブラウザはすべてのトラフィックにプロキシを通過させる設定にもできる。プロキシはトラフィックを調べ、リクエストしたエンドユーザーに攻撃が到達するのを防止できる。こうした保護措置は、既知の悪質サイトへのアクセスを遮断するURLブラックリストのように単純なこともあれば、JavaScript攻撃など予期せぬ迷惑コード検出のための定義ファイルのように複雑なこともある。
Webブラウザの脆弱性に対抗するためには、どのWebブラウザを使うかも考えなければならない。Internet Explorerは、ほかのWebブラウザと相性の良くないレガシーアプリケーションにも対応しているかもしれないが、ほかに比べて脆弱性がはるかに高く、未修正の脆弱性が知れわたっていることも多い傾向がある。主要なWebブラウザの脆弱性比較について調べてみるのもいいだろう。
非常に重要なWebアクセスのセキュリティを守る一助として、目的別に専用のWebブラウザを使うこともできる。例えばGoogle Chromeをオンラインバンキングのみに使っていれば、プラグインなどの手段を通じてマルウェアがWebブラウザに侵入する確率は低い。
最後に、仮想マシン(VM)や(UbuntuやUBCD4Winなどの)ブータブルCDを使ってOSとWebブラウザを起動するやり方もある。そのOSとWebブラウザは古いバージョンで脆弱性があるかもしれないが、それを悪用できるのは、そのユーザーセッションの間に限られる。WebブラウザやOSが攻撃されたとしても、次回の利用までは持ち越されないため、このオプションはWebブラウザを利用する際のセキュリティを確実にしたり(例えば銀行取引など)、マルウェアが仕込まれているかもしれないWebサイトのリスクを抑える役に立つ。
本稿筆者のトム・チミエラルスキ氏はGlassHouse Technologiesの上級コンサルタント。
※この記事の著作権は、ヤフー株式会社または配信元に帰属します
http://headlines.yahoo.co.jp/hl?a=20101001-00000018-zdn_tt-secu