Webアプリは素晴らしいです。Webブラウザを搭載していれば、ほぼあらゆるデバイスから、いつでもどこでも利用できます。また、Webアプリは更新やメンテナンスも簡単です。開発者がWebサーバー上でアプリを微調整すれば、すべてのユーザーが最新バージョンにアクセスできます。
しかし、Webアプリには予想以上のものが含まれている可能性があり、場合によっては悪意のあるものが含まれている可能性があります。Webアプリがもたらすリスクを認識し、自分自身を守る方法を知っておく必要があります。
Web アプリが危険になる理由
Webアプリは、本質的にはWebブラウザ内で実行される本格的なアプリケーションです。Webアプリがリマインダーを追跡したりゲームをプレイしたりするのと同じくらい簡単に、PCに感染する可能性があります。
ESETのセキュリティ研究者、キャメロン・キャンプ氏によると、WebアプリはJavaやActiveXといった一般的なWeb開発技術に依存しており、マルウェア作成者はこれらを悪意のあるエクスプロイトの拡散に利用しているという。Adobe Flashも、マルウェア作成者が頻繁に標的とする一般的なWebアプリプラットフォームの一つである。
nCircle の CTO である Tim Keanini 氏は、サイバー攻撃者は才能があり、創造力に富んだ開発者であり、ユーザーから金銭や情報を奪い取るための革新的な方法を見つけようと躍起になっていると述べています。
通常、悪意のある Web アプリはトロイの木馬の一種です。アプリは別のものであると主張し、実際には正当なユーティリティやアプリケーションを実行している場合もありますが、クリックすると、バックグラウンドで悪意のあるコードが実行され、システムが侵害されたり、インターネットから他の悪意のあるペイロードが密かにダウンロードされたりする可能性があります。
ウェブ アプリについて、キャンプ氏は次のように警告しています。「ウェブ アプリはブラウザー内での機能を拡張しますが、ユーザーはシステムのどこまで深くまでアクセスできるのかを認識する必要があります。」
マルウェア攻撃の中には、メール内のリンクをクリックさせ、クリックさせたり、悪意のあるWebアプリに接続させたりして、PCにマルウェアを感染させようとするものがあります。また、Web上に潜伏し、被害者が通りかかるのを待ち構えている不正アプリもあります。攻撃者は、Webサイトの脆弱性を悪用したり、不正広告を仕込んで、本来は正当で信頼できるサイトにマルウェアを仕込んだWebアプリのコンテンツをアップロードさせたりするケースもあります。
セキュリティ・イノベーションの製品管理担当副社長、フレッド・ピンケット氏は、ユーザーは無名または未知のウェブサイトには慎重に疑いの目を向けるべきだと述べています。「一般的に、よく知られているウェブサイトほど安全である可能性が高いですが、必ずしもそうとは限りません。IPアドレス、一般的なサイトのスペルミス、特殊文字を含む奇妙なURLなど、よくある手口には注意してください。ただし、これらは必ずしも悪意のあるものではありません。」とピンケット氏は説明します。
Microsoft Windows を避けているからといって安全だと決めつけないでください。Web アプリは特定の脆弱性を狙うことが多く、Windows が主な標的となることも少なくありません。しかし、Web アプリは、無害なものも悪意のあるものも、基本的にプラットフォームに依存しません。
ウェブアプリ攻撃からの防御
nCircle の Keanini 氏は、悪意のある Web アプリから最も効果的に保護できるのは、オンライン セキュリティに配慮した知識のあるユーザーであることは、実装が最も難しい安全策の 1 つでもあると述べています。
ルール1はシンプルです。少しでも疑わしい場合はクリックしないこと。このルール1つで、ほとんどのWebアプリマルウェアを回避できるはずですが、ユーザーに浸透させるのは難しいようです。
軽率なクリックはほぼ避けられないことを考えると、次の防御策はセキュリティ ソフトウェアを最新の状態に保つことです。ほとんどのセキュリティ ソフトウェアは悪意のある動作を検出し、多くの未知の脅威もブロックできますが、最も強力な保護は、最新の脅威を識別できるセキュリティ ソフトウェアを更新することです。
悪意のあるWebアプリは、オペレーティングシステムやサードパーティ製アプリケーションの脆弱性を悪用してPCを侵害します。Windowsなどの自動更新機能を備えたソフトウェアでは、自動更新を有効にする必要があります。ベンダーがパッチを開発するまでにエクスプロイトコードが既に出回っている場合に備えて、新しい更新プログラムが利用可能になったらすぐに適用してください。
Webベースの攻撃が進化するにつれ、ブラウザメーカーはシステムを保護するためのセキュリティ機能を追加してきました。現在のブラウザのほとんどには、特定のウェブサイトの真のルートドメインを識別する機能(フィッシング詐欺に騙されないよう)や、悪意のあるWebコードをブロックする機能が搭載されています。しかし、古いブラウザを使用している場合、古い脅威からしか保護されず、最新のマルウェアに対しては事実上無防備な状態になります。
悪意の故意
悪意のあるWebアプリは、同じブラウザセッション内で複数のタブにまたがって情報にアクセスできる可能性があります。そのため、安全なサイト(通常はURLの先頭に「https」が付いているサイト)のタブを開いた場合は、同じブラウザウィンドウ内でセキュリティの低い(httpsではない)サイトのタブを開かないでください。
ブラウザのプラグインやアドオンにも注意が必要です。プラグインやアドオンはブラウザの機能を拡張し、特定のタスクをより便利にしてくれる便利なツールですが、Webベースのマルウェアに悪用される可能性のある脆弱性を持つ、粗悪なコードが含まれている場合もあります。プラグインやアドオンは慎重に選び、信頼できる組織からのみ入手してください。
今日の人々は、かつてないほど多様なデバイスからWebに接続しています。Webアプリはローカルにインストールされたソフトウェアよりも便利で汎用的ですが、同時にリスクも伴います。脅威の性質を理解し、有害なWebアプリを認識し、防御するための対策を講じることで、悪意のないWebアプリを効果的に活用できるようになります。
