ネット犯罪の巧妙化

★★　ネット犯罪の巧妙化　★★　2008年04月27日

　ネット犯罪のとっかかりはここ数年迷惑メールであった。犯人は迷惑メールを相手構わず、際限なく送り続け、うっかりとか興味本位でその中のURLをクリックしてしまった人がネット犯罪に巻き込まれるというパターンが多かった。ところが、迷惑メール対策が次々打ち出され、迷惑メールを出しても相手のパソコンに届かなかったり、届いても開かれないようになってきたため、迷惑メールの悪用性がかなり低下してきた。

　そこで、頭が良く悪知恵の働くネット犯罪者は「SQLインジェクション」とか「クロスサイトスクリプティング」という次なる手法を生み出したのである。これは一般の人がよく使う「普通のサイト」に密かに仕掛けを忍び込ませて、ここを訪問した利用者のパソコンにスパイウエアなどのウイルスを感染させるという手口である。「普通のサイト」とはかつてよく犯罪に利用されたような「エロサイト」ではなく、普通のネットショップであったり、価格調査サイトであったり、路線調査サイトであったり・・・とごく普通のサイトである。普通の人がいつも通り、何かを調べようとサイトを訪れて見ている内にスパイウエアが自分のパソコンに入り込むのである。

　この「SQLインジェクション」とか「クロスサイトスクリプティング」というのは、データベースを使ったり、入力フォームのあるサイトで仕掛けられる可能性を持っているのだ。筆者もデータベースを使うWebプログラムを作った経験があり、その筆者の作ったアプリケーションに対して「SQLインジェクション」を試みてみたところ、見事に成功し、プログラムの意図する以外のデータをも表示させることが出来てしまったのである。尤も筆者の作ったアプリケーションは社内LANでしか使わないものなので、社外の悪人の攻撃を受ける危険性はゼロである。当然これを防ぐ方法はあり、しっかり対策を組み込んでおれば、インターネットで使っても危険性は無い。しかし、現在ネットで使われているプログラムの多くはこれらの問題が生じる以前に作成されたもので、対策が採られていないのである。「SQLインジェクション」で仕掛けられるのは１行に収まるような小さな記述であり、隠れたウインドウとして扱われるため、外見上は全くわからない。これが犯人側のサーバーにあるスクリプトプログラムを呼び出して閲覧者のパソコンにスパイウエアを埋め込んだりするのである。犯人側のスクリプトプログラムは犯人が自由に変更できるため、いくらでも巧妙化が可能になってしまうのである。

　この手口でかなり有名なサイトも改ざんされたという。これらが大きく報道されたため、著名なサイトでは対策が採られたと思われるが、自前で対策がとれないようなサイトではまだまだ悪用される要素を残していそうである。これらのサイトを閲覧する側でもブラウザー等にしっかりした対応が採られておれば、知らない間にスパイウエアが入り込むようなことはないだろう。しかし、ポップアップされたウインドウを何も読まずにOKボタンを押して閉じる癖がついているととんでもない結果になるという危険性があるので注意しなければならない。

　今ご覧になっている筆者のサイト（当ホームページ）では「SQLインジェクション」を仕掛けられる可能性は全くございませんので安心してご覧いただけます。閲覧者が少ないので犯人にとって旨みが無いのは勿論ですが、入力フォームは使っておりませんし、入力データを元にアクセスするデータベースも使っておりません。

BACK