旅行を計画中の人物が、昼休みに仕事場から旅情報サイトにアクセス。そしてあるサイトの掲示板を見てみると、「海の見える露天風呂は最高で、生きのいい魚介類を使った料理も絶品、しかも予算は1万円で超オススメ」という書き込みを発見。記載されていた旅館のホームページにアクセスし、目的のページを開いた。すると突然パソコンの調子がおかしくなり、Webブラウザを閉じようとしても反応がなく、システムを終了させることさえできない。仕方なくパソコンを強制終了した。ところが、今度はWindowsを立ち上げることもできなくなってしまった。
ホームページが改ざんされて、破壊活動を始める
上記のようなトラブルは誰にでも起こり得ること。
かつて、あるオークションサイトにアクセスした人のWindowsパソコンが突然不調になり、起動できなくなる被害が続発した。情報処理振興事業協会(IPA)によれば、これは、オークションサイトのWebページが改ざんされ、「悪意あるJavaスクリプト」が埋め込まれたために発生したとされる。
ここでいうJavaスクリプトとは、ホームページにアクセスした際にWebサーバから自動的にダウンロードされ、Webブラウザ上でアニメーションや音声、様々な動きのある表現、計算の自動化などを実現させることができるプログラムのこと。ホームページの表現力を向上させるにはとても有用なものだが、利用者に意識させることなくパソコン内にダウンロードされ、プログラムが自動実行される仕組みのため、破壊活動にも悪用される可能性がある。しかも、そのページに悪意あるJavaスクリプトが仕掛けられていたとしても、見た目では判断することはできない。
インターネット閲覧ソフトの弱点を攻撃
上記の事例では、Webブラウザのセキュリティホールを悪用し、JavaスクリプトによりWindowsが起動できないようシステムを改変してしまったのだ。このように、ネット上に罠を仕掛けて待ち伏せる手口を受動的攻撃と呼んでいる。
