ウイルスから守るインターネットの見張り番

　その成果もあり、スイスは世界で最もウイルス感染が少ない国の一つとなっている。

　ネットサーフィン中「エラーメッセージ、このページは表示できません」と表示されることがしばしばある。その場合、ユーザーはもう１度トライするか、書き込んだアドレス（URL）が間違っていなかったかを再確認するが、結局ページは表示されないままだ。

　ユーザーはイライラするだろうが、目的のウェブサイトにアクセスできなくて良かったかもしれない。ページが表示されないのは接続に問題があったり、サーバー、またはアップデートなどが原因とも考えられるが、ユーザーの安全を考えて意図的にブロックされるという場合もあるからだ。

　「ウェブサイトによっては悪質なコードが隠されていて、（アクセスした人のコンピューターに）コンピューターウイルスを自動的に感染させる。その結果、パスワードをはじめ個人データなどの紛失、改ざん、漏洩のみならず全ての情報システムの破壊などを引き起こし、深刻な被害をもたらす」と、スウィッチ（Switch）の情報技術（IT）エキスパート、ミカエル・ハウスディングさんは説明する。

　「私の主な仕事は、有害サイトをブロックすることだ。そうすることでマルウェア（不正を行うことを目的としたソフトウェア）や悪質プログラムの拡散を防止できる」と、スウィッチのコンピューター・エマージェンシー・レスポンス・チーム（CERT）の一員でもあるハウスディングさんは続ける。

　たとえユーザーの目にはっきり見えなくても、スイス国内のコンピューターが比較的安全なのはCERTによるところが大きい。ITセキュリティー企業のパンダ・セキュリティー（Panda Security）がまとめた最新レポートによれば、スイスではコンピューターのウイルス感染率が国際比較で最も少ないという。「CERT以外にも、主要なインターネット・サービス・プロバイダーは出回っているウイルス情報を顧客に定期的に提供するサービスを行っている」とハウスディングさんは言う。

５００ドルで可能なサイバー攻撃

　「マルウェアを拡散させる方法は多数存在するが、最近では『ドライブ・バイ・ダウンロード（drive-by-downloads）』を利用したケースが増えている。これはソフトウェアの欠陥や問題点などの脆弱性を利用した攻撃のことだ。犯人は正規のウェブサイト内に秘密のコードやスクリプトを埋め込み、ユーザーが気付かないうちにマルウェアを強制ダウンロードするように仕組んだり、コンピューターウイルスや『トロイの木馬（Trojan horse）』などのソフトウェアをインストールする」とハウスディングさん。

　マルウェアの４分の３が「ドライブ・バイ・ダウンロード」を通して世の中に広まっている。こうした攻撃の大半が自動的に実行されており、被害が広がりやすくなっている。「今では、たった５００ドル（約４万円）で、悪質なコードを全てのネットワークに拡散させるためのスクリプトを作成する会社があるくらいだ」とハウスディングさんは強調する。

　攻撃の目的は、ウイルス感染したコンピューターを互いに繋ぐネットワーク「ボットネット（Botnet）」を作ることだ。サイバー犯罪者はボットネットを通してユーザーのシステムに入り込み、保存データに不正アクセスしたり、ユーザーのネットワークを勝手に利用したりする。ボットネットを使えば、例えば、クレジットカードや銀行取引のデータをスパイしたり、ユーザーに気付かれないように有害メールや迷惑メールを大量送信したりすることも可能だ。

　「スイス連邦鉄道（SBB/CFF）やスイス郵便のポストファイナンス（Post Finance）は２０１１年、数回にわたってディードス攻撃（Distributed-Denial-of-Service）の被害に遭った。この攻撃を受けると、ウェブサイトやサーバーが機能できず、企業が提供するサービス全般が使用できなくなる」とハウスディングさんは説明する。

　ウイルス感染の危険性が一番高いのは、音楽、映画、コンピュータープログラムなどの海賊版を提供するウェブサイトやアダルトサイトだと思われがちだが、実はそうではないとハウスディングさんは言う。「最近では、さまざなな協会やスポーツクラブ、職人のホームページ内に知らないうちに有害コードが隠されているパターンもある。理由は、これらのページを作成する際に使用したソフトウェアが更新されていないか、管理人のパスワードが安全でないためセキュリティーが甘くなってしまった、ということが考えられる」

　そのため、「ドメイン名の所有者は犯罪者ではないものの、ボットネットを監視する手伝いを無意識のうちに行ってしまっている場合がある。そうなったら我々の出番だ」とハウスディングさん。

無数のサイトを攻撃から緩和

　チューリヒにあるCERTの元には、安全性に疑いのあるウェブサイトのURLリストが専門業者または民間企業から送られてくる。平均すると週におよそ５０件ほどになるという。

　リストに記載されたウェブサイトが実際にウイルス感染させることを確認したら、CERTのエキスパートはそのドメイン名の所有者または運用者に連絡する。「サイトから有害性のある悪質なコードを取り除く作業をしてもらう。技術者にはとても単純で一瞬で終わる作業だ。ところが、情報技術をあまり熟知していない人には複雑なため、我々の手助けが必要となる」

　悪質なコードがあることを連絡した後、当事者から２４時間たっても返事が来ない場合、スウィッチはウイルスの拡散防止のため、該当ウェブサイトへのアクセスを禁止する。「我々がかけるブロックに対して何の反応もない場合、ドメイン名の所有者に住民票、または商業登記簿の謄本などを要求し、本人確認をする。確認が取れない場合、ドメイン名は抹消されることになる」とハウスディングさんは説明する。

　スイスでは２０１１年１月から２０１２年７月までの間、２８２８件のサイトがCERTによって抹消された。「ドメイン名の所有者であれば、ブロックに対して即座に反応するはず。ウェブサイトにブロックがかかってしまっては経営に響くことがあるからだ。名前は明確にできないが、抹消されたウェブサイトのなかにはスイスで重要な企業のサイトも含まれていた」

スイスの特殊性

　スイスが行っているマルウェア対策は、世界で他に例がない。「スイスは、マルウェア対策の法律がはっきりと定められている国だ。２０１０年に法令が改訂された際、我々CERTはテレコミュニケーション部門においてドメイン名などのURLを（危険回避のために）ブロックすることが許可されたのだ」

　スイスではドメイン名の登録者がウェブサイトの責任者となる。ところが、他の国ではインターネット接続サービス会社（プロバイダ）が責任者であることが多い。「これはとても重要な特徴だ。なぜなら、スイスには約１７０万件のドメイン名があるが、そのうちの３分の１を外国のサーバーが管理しているからだ」と、ハウスディング氏は指摘する。

　取材のついでに、ハウスディングさんにスイスインフォのサイトが安全かどうか、検査を頼んだ。その結果、分析プログラムに表示された項目は全て緑色になった。少なくとも今のところは、スイスインフォのサイトは安全で、マルウェアが隠されている心配もないということだ。

（伊語からの翻訳・編集、リッソーネ光子）