読者のみなさんにお聞きします。ブラウザで表示される警告メッセージ、本当に読んでいますか。フィッシングサイトの警告や SSL 証明書不一致のダイアログを読み飛ばしてクリックしていませんか。ほとんどのユーザーはこうした警告に無頓着で、すぐにクリックして閉じてしまう傾向があるようです。警告の内容を覚えていたり、毎回その重要性を熟考したりする人がいるとは思えません。
Google 社とカリフォルニア大学バークレー校は、Google Chrome と Mozilla Firefox で表示された 2,540 万回の警告を分析するという興味深い研究を実施しました。その調査によると、平均して 15.1% のユーザーがマルウェア感染サイトの警告を無視してクリックしています。そのなかでは、何でもすぐクリックしてしまうユーザーの率が、Windows 版 Mozilla Firefox では 7.1% にとどまっているのに対して、Windows 版 Google Chrome では 23.5% と、実に 3 倍以上に達していることが注目に値します。
フィッシングサイトの警告の場合、無視してクリックする率は平均で 20.4% ですが、Linux ユーザーに限っては 32.9% と、他のプラットフォームより高くなっています。おそらくこれは、Linux ユーザーのほうが技術に詳しいため、操作に自信があるからでしょう。この研究で分析の対象になったのは、無視して続行するオプションがある警告だけで、そのような警告が表示される場合にはたいてい誤認の可能性があります。したがって、警告が表示されたからといって必ずしも悪質なことが行われるとは限りません。
SSL 警告の場合、結果の数値はもっと高く、無視してクリックする率は Google Chrome で 73.4%、Firefox で 36.7% となっています。Chrome ユーザーのほうが 2 倍も警告を無視する傾向がありますが、その理由については不明です。もちろん、SSL 警告も常に悪意の存在を意味するとは限らず、ユーザーが自宅では自己署名証明書を使っていることもあれば、サーバーの設定に問題があるだけのこともあります。したがって、クリックしたからといって警告を無視しているわけではなく、十分な知識に基づく判断で素通りしたのかもしれません。
それでも、多くのユーザーがこうした警告メッセージに飽き飽きし、無視し始めているのだという懸念を研究者は抱いています。これは、かつて初期のウイルス対策ソリューションでお馴染みだった現象です。「svchost.exe がインターネットにアクセスすることを許可するかどうか」という確認ダイアログにユーザーはうんざりさせられたものでした。警告は重要な機能ですが、うまく使う必要があるということです。
このような警告を無視することが習慣化してしまうと、悪質な Web サイトに引っかかりやすくなり、たとえば空港やレストランの無料ホットスポットで典型的な中間者(MITM)攻撃に狙われたりします。あらゆるサイトに対して自己署名証明書として機能する悪質なアクセスポイントを設定している攻撃者もいるということを、多くのユーザーは知りません。この証明書を受け入れてしまうと攻撃者にトラフィックを傍受され、オンラインサービス用のパスワードを読み取られる可能性もあります。Google が導入したような認証のピンニングを使うと、主な Web サイトでユーザーが警告を無視できなくなるので、MITM 攻撃対策に有効です。調査結果でも、Chrome の SSL 警告のおよそ 20% はユーザーが無視できないものでした。この比率は、MITM 攻撃に由来するものでしょう。
マルウェア警告を無視するのは、賢明でもありません。シマンテックの『インターネットセキュリティ脅威レポート』(ISTR)によると、感染した Web サイトの 61% は、正規の Web サイトが乗っ取られたものでした。つまり、過去にアクセスしたことがある既知のサイトだからといって安全とは限りません。前回のアクセス以降に感染し、今では悪用を通じてマルウェアに利用されているかもしれないからです。
ブラウザの警告は必ず読み、真剣に受け止めることをお勧めします。読んで内容を理解したうえで、その Web サイトにセキュリティ上のリスクがないことがわかっているのであれば、クリックすればいいのです。ろくに確かめもせず、やみくもに警告を無視してクリックしてしまうことだけは避けてください。
図. Firefox のマルウェア感染サイト警告
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。