［世界］【グーグル調査】
攻撃コードの多くをIISサーバがホスティング

マルウェアを配布する割合は他のWebサーバの“2割増し”

（2007年06月06日）

　米国グーグルの調査結果から、マイクロソフト製のWebサーバ・ソフトウェアが稼働するWebサイトは、悪質なコードをホスティングしている割合が他のWebサイトに比べて2倍も高いことが明らかになった。

　グーグルのアンチマルウェア・チームは先月、マルウェアの配布または攻撃コードをホスティングしている7万のドメインを調査してこの結論を導き出したという。

　グーグルのナゲンドラ・モダドゥグ氏は、「当社のインターネット全体のサーバ・サンプルで比較した結果、Microsoft IIS（Internet Information Services）はマルウェア配布サーバの役割を果たしている割合が他のWebサーバに比べて2倍も高い」と、5日のブログ投稿で紹介した。

　IISサーバとApacheサーバは合計で全Webサイトの89％をホスティングしているが、両者合わせてWebベースのすべてのマルウェアの98％の原因となっているという。

　実はグーグルが発見した悪質なソフトウェアをホスティングしているApache WebサイトとIIS Webサイトはほぼ同数だった。しかし、Apacheサーバをホストとするサイトのほうがはるかに多い（IISの23％に対し、Apacheは66％）ため、IISサーバ全体に占める悪質なサイトの比率が当然高くなる。

　モダドゥグ氏は、この結果だけを取って、マイクロソフト製サーバのほうがクラッキングしやすいとする結論はいっさい出していない。「重要な点を指摘するとすれば、多くのサーバはサーバの欠陥が原因でマルウェアを配布するが、一部のサーバでは管理者によって攻撃コードを配布するように設定されていることだ」（モダドゥグ氏）

　グーグルの調査によると、マルウェアが好むサーバは地域ごとに異なる。例えば、中国と韓国では、悪質なWebサイトの大半がIISで稼働している。しかし米国とロシア、ドイツでは、Apacheがマルウェア・サーバに広く利用されている。

　モダドゥグ氏は、中国と韓国のサーバは海賊版ソフトウェアを稼働させていることが多いため、マイクロソフトの最新のセキュリティ・アップデートを入手できないのかもしれないと推測している。

　セキュリティ研究者によると、グーグルの調査結果はIISの使いやすさが原因になっている可能性もあるという。アルゼンチンのセキュリティ調査会社アルゼニスのCEOを務めるセーザル・セルード氏は、IM（インスタント・メッセージング）を通じて、「ISS WebサーバのほうがApache Webサーバよりも運用しやすいことが原因になっているかもしれない」と指摘している。

　「あまりスキルの高くない人は、Windowsをインストールして、Webサーバを脆弱なコンフィギュレーションでセットアップしてしまう可能性もある」

　ただし、セルード氏は、IISのセキュリティについて確実な結論を導き出すためには、さらに多くの情報が必要だと指摘する。「リポートは7万のドメインを調査したというが、5,000のドメインが中国の同じWebサーバにあったとしたらどうか」と、同氏は疑問を投げかける。

　「数字をもてあそんで安直な結論を出すのはたやすい。正しい結論を導き出すにはさらに多くのデータが必要だ」（セルード氏）

　なお、グーグルの今回のリポートについて、マイクロソフトとアパッチにコメントを求めた現時点で回答は得られていない。

(ロバート・マクミラン／IDG News Service サンフランシスコ支局)