スパイウェアとXSS脆弱性

スパイウェアが私のPCに?

スパイウェア対策のひとつとして私はSpybot - Search & Destroyを使っています。ブラウズする時の用心を重ねていますので基本的にスパイウェアに感染する心配はないものと思っていますけれど念のために本日もPC内を調査してみました。習慣ですので。そうしたらスパイウェアらしきものを発見と警告が。ドキドキ。恥ずかしくて耳が赤くなりました。

よくよく調べて見ると、なんと、IE用の自作のユーザースタイルシートスパイウェアの疑いありと警告を発していたのです。スタイルシートは間違いなく自作のものであることを確認しましたので今しがた一安心したところです。

ユーザースタイルシートスパイウェアの容疑とは?

ユーザースタイルシートはとても便利なものです。スタイルシートとHTMLの分離の概念が非常に有効であることののひとつの象徴ですね。表現としてのスタイルがきちんとコンテンツ表現の中核であるHTMLと分離していることにより、Webページ製作者殿が用意したスタイルシートを使わずに自作のスタイルシートで閲覧できるのです。私は多少目が疲れやすいタチですので、体質にあったスタイルシートを用意してラクラクブラウジングを楽しんでいるのです。小さいフォントやケバケバシイ装飾を放逐できるのですからこんなに良いことはありません。皆さんにも是非常用して頂ければと思います。わかりやすい解説としては、ユーザースタイルシートのススメ - Personnelがお勧めです。いくつか優れたサンプルもありますのでカストマイズして使ってみてください。勉強になりますから。

そんな便利なユーザースタイルシートが何故にスパイウェアの容疑をかけられたのでしょうか。

IEでは、スタイルシートの記述でもってスクリプトを呼び出すことが可能だからでしょう。(※他のメジャーなブラウザについてはこの記事では触れません。)スパイウェアがひとたび侵入すればレジストリ改変などお手のもの。悪意あるファイルの設置も出来てしまいますからね。ユーザースタイルシートの設置も可能というわけですよね。で、悪意あるユーザースタイルシートの設定を外部から行われるといかなることがおきるのか。

ユーザースタイルシートの設定方法そのものを知らない人々はまだまだ多いと思います。そこに危険があるかも知れないという認識もごく少数でしょう。丁度、ブックマークレットが危険でありうるのと同じくらいに。さきにも触れたとおりIEではユーザースタイルシートからスクリプト起動が出来てしまいます。そして密かに忍び込んだ悪のスタイルシートに気がつく人々がどれほどいるのでしょう。恐らく、ウイルス対策ソフトウェアでは検知出来ない危険性があるにも関わらずです。

ユーザースタイルシートは基本的には閲覧する全てのサイトに有効です。そして万が一悪意あるユーザースタイルシートをリモートから設定されてしまいますと、悪意あるスクリプトが皆さんの閲覧する全てのサイトに対して作動してしまいます。このことは極めて重要です。

この可能性を最も効果的に悪用しうるとすれば、それは、XSS脆弱性を突いたブラウザへの攻撃でしょう。皆さんが閲覧するサイトごとに皆さんの秘密情報が悪意ある者が運営するサーバに密かに伝送されるのです。通常はありえない、ほとんど全てのサイトがXSS脆弱性を持ってしまうという悪夢なのですね。スーパーフィッシング、スーパーファーミングが実現されてしまうのです。超絶な悪意の手段となりうるのです。キーロガーなどよりもよほど効果的であることはすぐに検証できますしキーロガーよりも遥かにステルスなのです。実際問題、インターネット・カフェなどでキーロガーを仕掛ける人はオツムが多少悪いのだと思っています。いえいえ、犯罪をしている時点でオツムは致命的にお馬鹿でしたネ。

従って、ユーザースタイルシートについてスパイウェア感知ソフトが必要以上と思える程に鋭敏であることは歓迎です。

NOTE:どうか恐れないで下さい。ユーザースタイルシートは極めて便利なものです。ちょっとだけ気をつけるだけで良いのです。本項の目的はユーザースタイルシートが万が一侵襲されたらどうなるのかについての考察であると同時にスタイルシート万歳の記事でもあるのです。Spybot - Search & Destroyが立派に防衛しているんだなぁという感想記事でもあります。セキュアなインターネット生活と利便性をどうか両立して頂くことが念願です。

たまにはゆっくりサーバーの愚痴をきいてあげましょう

404エラー

鬱なサーバはユーザから要求されたコンテンツが見当たらないと、404な愚痴をこぼすことがあるらしい。

JavaScriptオンでないとがっかりするよ。