ブラウザ経由で感染する仕組みと身を守る方法

完璧な世界では、ブラウザを介してコンピュータが感染することはあり得ません。ブラウザは Web ページを信頼されていないサンドボックスで実行し、コンピュータの他の部分から隔離することになっています。残念ながら、これは常に起こるわけではありません。

Web サイトは、ブラウザまたはブラウザプラグインのセキュリティホールを利用して、これらのサンドボックスを回避する可能性があります。悪意のある Web サイトは、ソーシャルエンジニアリング戦術を使用してユーザーを騙そうとすることもあります。

安全でないブラウザプラグイン

ブラウザを通じて侵害されるほとんどの人は、ブラウザのプラグインを通じて侵害されます。 Oracle の Java は最悪かつ最も危険な犯人です。 Apple と Facebook は最近、悪意のある Java アプレットを含む Web サイトにアクセスしたため、社内コンピュータが侵害されました。 Java プラグインは完全に最新である可能性がありますが、Java の最新バージョンにはパッチが適用されていないセキュリティ脆弱性がまだ含まれているため、問題はありません。

自分自身を守るために、 Java を完全にアンインストールする必要があります。 Minecraft のようなデスクトップアプリケーションに Java が必要なためにそれができない場合は、少なくとも Java ブラウザプラグインを無効にして身を守る必要があります。

他のブラウザプラグイン、特に Adobe の Flash プレーヤープラグインや PDF リーダープラグインも、定期的にセキュリティの脆弱性にパッチを適用する必要があります。 Adobe は、これらの問題への対応やプラグインのパッチ適用において Oracle よりも優れていますが、Flash の新たな脆弱性が悪用されたという話は依然としてよく耳にします。

プラグインは格好のターゲットです。プラグインの脆弱性は、すべての異なるオペレーティングシステムでプラグインを使用すると、すべての異なるブラウザーで悪用される可能性があります。 Flash プラグインの脆弱性は、Windows、Linux、または Mac 上で実行されている Chrome、Firefox、または Internet Explorer を悪用するために悪用される可能性があります。

プラグインの脆弱性から身を守るには、次の手順に従います。

Firefox のプラグインチェックなどの Web サイトを使用して、古いプラグインがないか確認してください。 (この Web サイトは Mozilla によって作成されましたが、Chrome や他のブラウザでも動作します。)
古いプラグインはすぐに更新してください。インストールした各プラグインの自動更新が有効になっていることを確認して、常に最新の状態に保ちます。
使用しないプラグインをアンインストールします。 Java プラグインを使用しない場合は、インストールしないでください。これは、「攻撃対象領域」、つまりコンピュータが悪用できるソフトウェアの量を減らすのに役立ちます。
Chrome または Firefox のクリックトゥプレイプラグイン機能を使用することを検討してください。これにより、特にリクエストした場合を除き、プラグインが実行されなくなります。
コンピュータでウイルス対策ソフトウェアを使用していることを確認してください。これは、攻撃者がマシンに悪意のあるソフトウェアをインストールすることを可能にするプラグインの「ゼロデイ」脆弱性 (パッチが適用されていない新しい脆弱性) に対する最後の防御線です。

ブラウザのセキュリティホール

Web ブラウザ自体のセキュリティの脆弱性により、悪意のある Web サイトがコンピュータを侵害する可能性もあります。 Web ブラウザはその行為をほぼ一掃しており、プラグインのセキュリティの脆弱性が現在侵害の主な原因となっています。

ただし、とにかくブラウザを最新の状態に保つ必要があります。パッチが適用されていない古いバージョンの Internet Explorer 6 を使用していて、あまり評判の悪い Web サイトにアクセスすると、その Web サイトがブラウザのセキュリティの脆弱性を悪用して、許可なく悪意のあるソフトウェアをインストールする可能性があります。

ブラウザのセキュリティ脆弱性から身を守るのは簡単です。

Web ブラウザを常に最新の状態に保ってください。すべての主要なブラウザは、アップデートを自動的にチェックするようになりました。保護を維持するには、自動更新機能を有効のままにしておきます。 (Internet Explorer は Windows Update を通じて自動的に更新されます。Internet Explorer を使用している場合は、Windows の更新プログラムを最新の状態に保つことが特に重要です。)
コンピュータでウイルス対策ソフトウェアを実行していることを確認してください。プラグインと同様、これは、マルウェアがコンピュータに侵入することを可能にするブラウザのゼロデイ脆弱性に対する最後の防御線です。

ソーシャルエンジニアリングのトリック

悪意のある Web ページは、ユーザーをだましてマルウェアをダウンロードして実行させようとします。彼らは多くの場合、これを「ソーシャルエンジニアリング」を使用して行います。つまり、ブラウザやプラグイン自体を危険にさらすのではなく、偽りのふりをして侵入を許可するよう説得することでシステムを危険にさらそうとします。

この種の侵害は Web ブラウザに限定されるものではありません。悪意のある電子メールメッセージによって、安全でない添付ファイルを開いたり、安全でないファイルをダウンロードさせようとしたりする可能性もあります。しかし、ブラウザ内で行われるソーシャルエンジニアリングのトリックを介して、アドウェアや不快なブラウザツールバーからウイルスやトロイの木馬に至るまで、多くの人があらゆるものに感染しています。

ActiveX コントロール : Internet Explorer はブラウザプラグインに ActiveX コントロールを使用します。どの Web サイトでも、ActiveX コントロールのダウンロードを求めるメッセージが表示されることがあります。これは正当な場合もあります。たとえば、オンラインで Flash ビデオを初めて再生するときに、Flash プレーヤーの ActiveX コントロールをダウンロードする必要がある場合があります。ただし、ActiveX コントロールはシステム上の他のソフトウェアと同様であり、Web ブラウザを終了してシステムの残りの部分にアクセスする権限を持っています。危険な ActiveX コントロールをプッシュする悪意のある Web サイトは、一部のコンテンツにアクセスするためにコントロールが必要であると主張する場合がありますが、実際にはコンピュータに感染するために存在している可能性があります。疑わしい場合は、ActiveX コントロールの実行に同意しないでください。

ファイルの自動ダウンロード : 悪意のある Web サイトは、ユーザーが実行することを期待して、EXE ファイルまたは別の種類の危険なファイルをコンピュータに自動的にダウンロードしようとする可能性があります。特にダウンロードを要求しておらず、それが何であるかわからない場合は、自動的にポップアップして保存場所を尋ねるファイルをダウンロードしないでください。
偽のダウンロードリンク : 悪質な広告ネットワークを備えた Web サイト、または海賊版コンテンツが見つかった Web サイトでは、ダウンロードボタンを模倣した広告がよく見られます。これらの広告は、本物のダウンロードリンクを装って、人々をだまして探していないものをダウンロードさせようとします。このようなリンクにはマルウェアが含まれている可能性が高くなります。

「このビデオを見るにはプラグインが必要です」 : ビデオを再生するには新しいブラウザプラグインまたはコーデックをインストールする必要があるという Web サイトに遭遇した場合は、注意してください。いくつかの目的のために新しいブラウザプラグインが必要になる場合があります。たとえば、Netflix でビデオを再生するには Microsoft の Silverlight プラグインが必要です。しかし、あまり評判の悪い Web サイトを使用している場合は、再生するために EXE ファイルをダウンロードして実行する必要があります。彼らのビデオを見ると、あなたのコンピュータを悪意のあるソフトウェアに感染させようとしている可能性が高くなります。

「あなたのコンピュータは感染しています」 : コンピュータが感染していることを示し、クリーンアップするには EXE ファイルをダウンロードする必要があると主張する広告が表示される場合があります。この EXE ファイルをダウンロードして実行すると、コンピュータが感染する可能性があります。

これは完全なリストではありません。悪意のある人々は、人々をだます新しい方法を常に探しています。

いつものように、ウイルス対策ソフトウェアを実行すると、悪意のあるプログラムを誤ってダウンロードした場合に身を守ることができます。

これらは、平均的なコンピュータユーザー (さらには Facebook や Apple の従業員も) がブラウザ経由でコンピュータを「ハッキング」する方法です。知識は力であり、この情報はオンラインで身を守るのに役立ちます。