ドライブバイダウンロード(より正確には、ドライブバイインストレーション)は、最も恐ろしい部類のインターネット上の脅威である。そうした振る舞いの基となるメカニズムを提供するのがエクスプロイトキット(英文)だ。ブラウザの種類とそのバージョン、インストールされているプラグインとそのバージョンといった、ブラウザの環境を調べることで,、ソフトウェアの脆弱な部分を探すのである。
エクスプロイトキットは、脆弱性を見つけると、それらすべてを利用して、システム上で直接コードを実行しようとする。ほとんどの場合、ユーザが気付かないうちに、マルウェアがマシンにインストールされて実行されることになる。最悪のケースでは、今さっき暗号化されたばかりのファイルを、たった数分後には、元の状態に戻すべく、身代金を支払う手順についての説明をじっと眺めているという状況に至る。
エクスプロイトキットは、インターネット上の数多くの場所に潜んでいる可能性がある。たとえば、次のような場所である。
悪意のあるドメイン
世の中には信頼できないサイトがたくさんあり、閲覧中に行き当たってしまうこともあるかもしれない。たとえば、非正規のファイル共有サイト、torrentサイト、ポルノサイトなどである。そうしたサイトのなかには、直接、エクスプロイトキットをホスティングしているものもある。
また、フォーラム、ブログ、ソーシャルネットワークサイトの投稿やコメントに記されているリンクや、受信したEメールに記されているリンクをクリックすることで、意図的に悪意のあるサイトを開いてしまうこともある。そうしたサイトでは、どうやってたどり着いたかにかかわらず、ハッキングされるリスクがある。
マルバタイジング(悪意のある広告)
ほとんどのウェブページには広告が表示されている。多くは、広告配信業者からのものだ。マルバタイジング (英文)は、攻撃者が悪意のあるコードが入った広告をそうした業者へ送信した時点で発生する。マルバタイジングでは、キャンペーンを効果的に進めるため、より人気のある広告配信業者が標的に選ばれる。結果として、より人気のあるサイトに広告が配信されることになる。こうした卑劣で効果的な手法が、悪意のあるコンテンツをばらまくためのプラットフォームとして攻撃者に広く用いられている。こうしたケースはかなりよく目にするものである。
マルバタイジングは、特に狡猾な感染ベクターである。攻撃者は、閲覧の際に被害者にいつもと違うことをするよう仕向ける必要もなく、被害者のシステムに感染できるのだ。悪意のある広告は、いったん広告配信プラットフォームに埋め込まれたら、さまざまな人気サイトに自動的にばらまかれる。そのため、次にお気に入りのニュースサイトを訪れたときには、マルウェアがシステムに入り込んでいるという状況に陥る可能性もある。たとえそのサイト自体は一般に安全とみなされていても、である。そして、感染するのに、悪意のある広告をクリックする必要さえない。
ところで、マルバタイジングはウェブサイトに限った話ではない。少し前のこのブログで、Skypeの広告が、これとまったく同じ仕組みで悪意のあるペイロードを配信しているケースを紹介 (英文)している。
侵害された正規のウェブサイト
正規のウェブサイトがハッキングされるのは、よくあることだ。実際、流行しているエクスプロイトの大半は、侵害されたサーバに置かれているものであり、それらは削除されていない。
正規のウェブサイトのハッキングは、基になるウェブサービス(たとえば、ApacheやWordPress)に新たな脆弱性が表面化したときに発生する。新たな脆弱性が明らかになるとすぐに、ゴールドラッシュのようにインターネット上の利用可能なすべての標的のエクスプロイトが始まる。しかもそれは完全に自動化されている。WordPressサーバもたびたびブルートフォース攻撃 (英文)を受けている。投稿者名を取得するのが簡単だからである。
当然のことだが、これらのサービスがハッキングされたら、悪用されたサイトにはエクスプロイトキットが挿入され、その後どうなるかは、お分かりだろう。
おそらくすでにお気付きだろうが、セキュリティに気を配りつつ閲覧しているからといって、ドライブバイダウンロードによるハッキングが防げるわけではない。だからこそ、最新のすべてのエンドポイント保護ソリューションには、URLブロッキングおよびネットワークスキャンコンポーネントが組み込まれるようになっている。あるページ、またはあるページのコンポーネントがブラウザにロードされないようにできるのなら、エクスプロイトキットの実行も防ぐことができる。もちろん、言うまでもないことだが、こうした攻撃に対しては、ソフトウェアをアップデートしておくことが何より重要だ。
悪意のあるURLのランドスケープは信じられないほどすぐに変わる。そのため、クラウドの参照はそうした変化についていくためのよい方法と言える。実際にそのページを訪れる直前に、要求されたURLを正規化してクラウドへ問い合わせを行うだけで、そのサイトが安全かどうか判定されるのだ。その判定には、その他の情報が含まれることもある。悪意のあるサイトであるかどうかに加えて、サイトが提供しているコンテンツの種類についての情報が含まれることがある。そうした情報は、ペアレンタルコントロールのようなコンテンツフィルタリングアプリケーションにとって有用なものだ。
このような表示が出た場合、意図したものでない何かをクリックしてしまったのかもしれない。
ここ、エフセキュアラボでは、数多くのフィードによって当社のURLリポジトリが埋められ更新されている。その数は全部合わせて70を超える。新たなURLは1日当たり500,000件以上になる。ハニーポットやスパムトラップからのものもあれば、マルウェアの静的または動的解析からのものもある。悪意の恐れがあるURLを、自動化されたサンドボックス環境に入れることにより、この仮想マシンに何が起こるかを記録し、調べることができ、それに応じてサイトを分類することができる。また、コンテンツの分類を自動化するエキスパートシステムもある。
個々のURLパスすべての分類を保管するとしたら、当社のシステムは何十億件ものエントリでパンクしてしまうかもしれない。そうなることを防ぐため、自動処理システムの複雑なロジックにより、ドメイン全体のレーティングと、個々のディレクトリのレーティングとが決められる。また、ドメイン全体のレーティングには、Whoisの情報も使用している。
当社では、悪意のあるサイトから確実に顧客を守るために、クラウドからURLを問い合わせるシンプルな方策の他に、いくつかの技も使用している。URLトラフィック自体のヒューリスティック分析を行うこともそのひとつであり、それによって、特定の種類の悪意のある振る舞いを見分けることができる。また、当社の保護コンポーネントは、URLのコンテンツ、ヘッダ、およびメタデータにも目を向け、それに基づいた判断を行うことができる。
また、URLへのアクセスのブロックは、マルウェアとC&Cサーバとのやり取りも阻止する。
このシリーズの最初の記事 (英文)で指摘したように、ユーザと悪意のあるサイトとの接触を防止することは、現実世界の脅威に対する防衛の最前線である。ドライブバイダウンロードを介したハッキングの可能性がある以上、それはかなり重大な第一歩である。今度、リンクをクリックした直後に画面の隅にあのポップアップが現れた時は、暗号化ランサムウェアにつながる、あの厄介なトロイの木馬ダウンローダに接触せずに済んでよかった、と思っていただけると幸いである。
カテゴリ