またしてもJavaScript経由のウイルスが出現しているようだ。先の通称GENOウイルス(Gumblarあるいは「JSRedir-R（ジェイエス・リダイレクト・アール）)とは、また別物らしい。

新たな「Webウイルス」出現、2万件以上の正規サイトに埋め込まれる(ITpro)
Mass Injection Compromises More than Twenty-Thousand Web Sites(websense)

　感染するプロセスはJSRedir-Rと同様らしいので、その影響を受けて作られたウイルスである可能性もある。Webサイトの脆弱性を衝いて、ページのJavaScriptコード部分を改ざんする。改ざんといっても明らかな表面的なWebの内容を書き換えるわけではないから、改ざんされても気が付きにくいかもしれない。そして改ざんされた結果のJavaScriptコードを、閲覧しにきたユーザがクライアント側で実行してしまう。そのJavaSciptコードは特定のサイトから本物のウイルスをダウンロードさせるようになっている。そしてそのウイルスが自動的に実行されてしまえば感染というわけである。Webサービスがごく普通になってきた現在では、こうした手法による感染が続出してきそうである。とうとう「Webウイルス」などというメジャーな名前で呼ばれるようになってきたようである。

　どうもやっかいなのは、ウイルス対策ソフトがすぐには対応しにくいようであることである。最も問題なのはWebサイトが改ざんされてしまっていることだが、どの脆弱性を衝いて不正侵入と改ざんが可能になってしまっているかである。感染の図を見るとHTML文書の最後</html>の後ろに、不正なJavaScriptコードが追加されているだけのようである。これならば、Webサーバー側で定期的に元のバックアップしてあるHTML文書とテキストで比較(diff)してみて、整合性が取れなくなっていればアラートを出すという対策は立てられないだろうか。

　Webサーバーが改ざんされてしまっていては、後はクライアント側の水際対策しかない。JavaScriptをオフにしておくのは、現在のWebでは何もできなくなるから、緊急時はともかく、あまり現実的ではない。JavaScriptの実行の結果として、勝手にダウンロードされるウイルスを検知することはできないのだろうか。ウイルス定義ファイルを最新に更新していない人はともかく、ここを巧妙にすり抜けられるようだと容易ではない。本当に最後ではウイルスが実行されるときにアラートを出して止められないかというところか。

　Webを閲覧しただけで感染するというシチュエーションは、初心者ならずとも、かなりの脅威であり憂鬱である。昔は「Webを閲覧しただけでは感染しません。電子メールに添付されている実行ファイルをダブルクリックさえしなければ大丈夫です」などと言っていた話が、笑い話にさえ聞こえる。同時に、脆弱性の修正パッチやウイルス定義ファイルをクライアントごとにマメな更新を強いながら、ウイルスと対策のいたちごっこをするのも、限界が見えはじめているようにも思える。どちらかといえば、Webサーバー側の根本的な対策が必要という気がする。