「怪しげなサイトはアクセスしなければ、ドライブバイダウンロードでウイルスに感染する危険はない」窶披買・[ザーがこのように話すのをわたし達はよく耳にします。本稿では、このドライブバイダウンロードの現状について考察してみたいと思います。
「ドライブバイダウンロード」という用語は、多くの場合「ドライブバイインストール」と言い換えることができます。基本的には、Webサイトや電子メール、詐欺的なポップアップウィンドウなどを経由して行われるマルウェアのインストールのうち、ユーザーがインストールについて知らされておらずそれを予期していないもの、またはユーザーの同意なく行われるものを「ドライブバイダウンロード/インストール」と呼びます(ただし一般的な使われ方では、主にWebサイトから行われるマルウェアのダウンロード/インストールを指します)。この種のマルウェアのインストールは、ユーザーが別のファイルのダウンロードを要求したとき、あるいは特定のサイトやサービス(主に海賊版ソフトウェアのダウンロードサイト)にアクセスする条件として行われることがしばしばあります。
では、怪しげなサイトにアクセスしなければ、ドライブバイダウンロードの被害に遭わずに済むのでしょうか。過去2年間に行われた調査では、ドライブバイ型のマルウェアに感染しているWebサイトの80%は悪意のない企業や個人のサイトであり、その所有者は、サイトがハッキングされ不正なコードが仕掛けられていることにまったく気づいていないという結果が出ています。
ESETアイルランドではつい最近、Webサイトのハッキングに関する非常に興味深い事例に遭遇しました。わたし達は、ESETのメディア掲載情報の収集を専門の会社に依頼しているのですが、あるとき、ESETの情報が地域の農業関連サイトに掲載されているとの知らせが何度も送られてくるようになりました。なぜそのようなWebサイトにESETの情報がたびたび掲載されるのか不思議に思って調べてみると、Webサイトのページ上ではESETについての言及が一切無いのにもかかわらず、HTMLコード中に、ESETのソフトウェアを含む「無償ソフトウェアダウンロード」を宣伝する文章が大量に記述されていたのです。もちろん、ここで宣伝されているのは正規のソフトウェアではありません。一般的なユーザーであればインストールしたりしないであろうたぐいのソフトウェアです。これは、ドライブバイダウンロードというよりも、正規のサイトを改ざんしてユーザーを自分達のサイトに誘導する不正な検索エンジン最適化(SEO)ですが、この事例は、正規サイトの改ざんについての認識が一般的にはまだまだ低いことを象徴的に示しています。問題のWebサイトを所有する会社に連絡してみたところ、当然のことながら彼らは、Webサイトの改ざんにまったく気づいていませんでした。
複数の調査によると、ドライブバイ型のマルウェアが仕掛けられ、これらをユーザーのシステムにインストールしようと試みるWebサイトは、全体の10%~20%に上っています。この種のマルウェアのインストールには、標的となるシステムのさまざまな脆弱性が利用されますが、システムやソフトウェアへのパッチ適用状況はユーザーによって大きく異なり、この点が、マルウェアによって生じる被害の程度に大きな影響を及ぼします。1つ確実なのは、定期的にパッチが適用されているシステムは、パッチ適用に無頓着なユーザーが所有するシステムよりもはるかに安全性が高いということです。ドライブバイダウンロードが行われるほぼすべてのサイトには、いわゆる「エクスプロイトパック」が仕掛けられています。エクスプロイトパックとは、ユーザーのWebブラウザに既知の脆弱性がないかどうかを調べるツール群のことで、代表的なものとしては、Eleonore、Justexploit、Yes、Fragusがあります。ある調査によれば、Webブラウザの中で最も脆弱なのは以前のバージョンのMicrosoft Internet Explorerです。例えば、実際に悪用されたことのある脆弱性の数を比較すると、Internet Explorer 6はMozilla Firefoxの約3倍に上ります。また最も攻撃を受けやすいアプリケーションとしては、Adobe Reader、Sun Java、Internet Explorer、Adobe Flashが挙げられますが、一般的なインターネットユーザーは、これらのアプリケーションを少なくとも1つか2つは利用しています。つまり、ドライブバイダウンロードによってマルウェアに感染するリスクは確実に存在しているのです。
ドライブバイダウンロードされるマルウェアの多く、特にこのところ悪評が高まっているKoobface経由で広まるマルウェアは、Webサイトのいわゆる「.sys」ディレクトリからインストールされます(その際には、Webサイトのデータにアクセスできるようにするためといって、追加のコンポーネントをインストールさせたり、システムやWebブラウザを「アップグレード」させたりします)。「.sys」などのディレクトリ名を使うのは、ITにそれほど詳しくないユーザーに正規のシステムアップデートと信じ込ませるための工夫の1つです。したがって、「.sys」や「system」といった名前が不自然に使われているディレクトリからのWebトラフィックを遮断すれば、それだけでこの種のマルウェアに感染するリスクを大幅に減らすことができます。
ESETリサーチチームのPierre-Marc Bureauによると、ESET AntivirusにはWebトラフィック専用のスキャナが搭載されており、既知の悪意あるWebサイトへのアクセスを防止することができます(なおPierre-Marcは、悪意のあるWebサイトについてのデータを収集および管理するESETのバックエンドシステムの運用にも携わっています)。しかし、ESETのラボが検知する1日あたりのマルウェア数が最近では20万を超えることを考えると、このように膨大に生み出されるマルウェアを確実に検出し、Webサイトへのマルウェア感染とその広がりを監視するには、また別の困難な課題に直面を余儀なくされるのです。
それは、Webサイトのマルウェア感染やそれに伴うユーザーの感染がなかなか顕在化しないという、ドライブバイダウンロード問題を解決する上でのおそらくは最大の障壁です。Webサイトに感染したマルウェアは通常、Webサーバーにとって直接的に害となる行動はしないため、Webサイト管理者はドライブバイ型のマルウェアがホストされていることに気づきません。またユーザーのシステムでも、パフォーマンスがわずかに低下する程度の症状に限られるため、ユーザーはシステムが感染していることに気づきません。では、この種のマルウェアを拡散させている犯罪者は一体何を目的としているのでしょうか。彼らは、感染システムをボットネットに組み込み、スパムメールの大量送信や特定サイトへの一斉攻撃などの不正活動に利用しているのです。残念ながら感染システムのユーザーの多くは、自分自身にとって大きな被害が生じないかぎり、どこかの遠隔地のボットネット管理者が自分のPCを「ゾンビPC」として利用していることに気づかず、またそのような可能性を心配することもありません。
ただ、冒頭で述べた、「怪しげなサイトにアクセスしない」ユーザーのドライブバイダウンロード対策は、どうやら正しいことのようです。ESETのRandy Abramsは先ごろ、ブログ「$161.84 to Infect 20,000 Users」で次のように述べています。
では、ドライブバイダウンロードの被害を避けるためには、どうすればよいのでしょうか。ITセキュリティに関するあらゆる問題がそうであるように、何よりもまず「問題が存在する」ということを認識する必要があります。続いて、すべてのソフトウェア(OS以外のサードパーティソフトウェアを含む)に定期的にパッチを適用し、アップデートを行って脆弱性を解消します。さらに、一般常識に則って行動し、「追加コンポーネント」をインストールするよう求めるメッセージなどが表示されても安易に受け入れないことも重要となります。そして最後に、アクセスしても問題ないWebサイト、できるだけアクセスすべきでないWebサイトを慎重に見極める必要があります。もちろん、すぐれたアンチウイルスソフトウェアは、ドライブバイインストールを試みるマルウェアの多くを検出できますが、最良のセキュリティソフトウェアでもすべてのマルウェアを検出できるわけではありません。高機能なセキュリティソフトウェアを導入していても、自分自身の行動には十分注意する必要があります。
新たに2つのガイドラインがメンバーによって承認され、AMTSOのドキュメントページに追加されたことは、メディアで大きく取り上げられました。
このように精力的に活動しているAMTSOですが、最近ではさまざまな批判を受けるようになっています。「アンチマルウェア業界は、顧客の利益を代表するテスト業界に対し説明責任を負うべきである」という意見にはだれもが同意する一方で、意外なことに、「テスト機関も顧客に対して説明責任を負い、ひいては、テスト機関とベンダーが1つの集団(見落とされがちなことですが、AMTSOにはベンダーの代表者だけでなくテスト機関の代表者も参加しています)として顧客の利益を代表するべきである」という考えに賛同できない人々が多数いるようなのです。そしてこの問題は、以前AMTSOに参加していたあるテスト機関が、「実態に即したテストを行っているのは自分たちだけである」という不穏当な主張を行ったことで、さらに複雑化しています。
メディアの中には、セキュリティ業界全般、とりわけアンチマルウェア業界をまったく信用していない人々もいるようですが、その一方で彼らは、テスト機関の主張を検証、報道するにあたっては批判的思考を放棄してしまう傾向にあります。高名なセキュリティブロガーであるBrian Krebs氏は、この問題に関する非常に公正な記事を書いてくれていますが、その一方でAMTSOのことを「けんか腰」であると評し、AMTSOにはベンダー以外の組織も参加していることに触れていません。同氏の記事に対するAMTSOの委員会の見解は、David Harleyが執筆したAMTSOブログ「Brian Krebs on AV Testing」で引用されています。いずれにしても、この論争は7月に入っても続きそうな情勢となっています。
- 『AMTSO Whole Product Testing Guidelines』:現在実施されているテストの多くは単純な検出率だけに着目しており、中には、1つの保護レイヤーだけをテストするために製品の一部機能を無効にするようなテストも存在します。このガイドラインでは、複数の検出および保護レイヤーをテストの対象とし、製品の効力をより適切に評価することを提唱しています。
- 『AMTSO Performance Testing Guidelines』:このガイドラインでは、配慮が不十分なベンチマーキング手法を用いることによって、重要でない指標が過度に強調されてしまう問題を取り上げています。このような場合、パフォーマンステストにおいても、検出テストと同様にバイアスがかかりやすくなります。
- このほか、関連リソースページには4つの主要リサーチ関連ペーパーが追加されています。最近開催された著名なセキュリティカンファレンスで発表されたもので、現実のソフトウェア利用環境をより正確に反映したテスト手法について解説しています。
前回の順位:1位
Win32/Confickerは、もともとWindowsオペレーティングシステムの最近の脆弱性を悪用して感染を広げるネットワークワームでした。この脆弱性はRPCサブシステムに存在し、有効なユーザーアカウントを持たない攻撃者によってリモートから悪用される可能性があります。また、セキュリティが不十分な共有フォルダやリムーバブルメディア(初期設定で有効となっているWindowsのAutorun機能を使用。ただしWindows 7では、この機能は無効にされています)経由で感染を広げる亜種も存在します。
Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。こちらよりConfickerの各種情報をご参照ください。
エンドユーザーへの影響
ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが2008年第3四半期に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードは削除されていますが、それでもAutorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。
「最新のパッチを適用する」「Autorun機能を無効にする」「共有フォルダに適切なセキュリティを設定する」という安全のための慣習を実践すれば、Confickerに感染するリスクは最小限に抑えることができます。このマルウェアがメディアで大きく取り上げられていること、そして何ヵ月も前からパッチが提供されている脆弱性を悪用していることを踏まえると、多くのユーザーがこのようなあたりまえの対策を実施していれば、Confickerによる被害はそろそろ終息に向かっていてもおかしくないはずです。それにもかかわらず、依然として600万台以上のマシンがConfickerに感染しているとConficker Working Groupは推定しています。
前回の順位:2位
INF/Autorunというのは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入した時に自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。
エンドユーザーへの影響
今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。
WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。
ヒューリスティック技術を搭載したアンチウイルススキャナでは、この特徴を手がかりにすることでこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように(ブログ「Auto-Infect」、ブログ「Foil Conficker Get Rid of AutoRun」)、アンチウイルススキャナに頼るよりもAutorun機能を無効に設定変更する方がより安全です。Randy Abramsの別のブログ「Now You Can Fix Autorun」も参考にしてください。
3. Win32/PSW.OnLineGames [全体の約4.26%]
前回の順位:3位
これは、ゲームユーザーを標的としたフィッシング攻撃で使用されるトロイの木馬ファミリーです。この種のトロイの木馬はキーロガー機能(さらに場合によってはrootkit機能)を備え、オンラインゲームとそのユーザーアカウントに関する情報を収集してリモートの攻撃者に送信します。
エンドユーザーへの影響
このトロイの木馬は依然として大量に検出されており、ゲームユーザーは引き続き警戒が必要です。他人のゲームユ窶買Uーアカウントを盗み出す輩の中には、単なるいたずら目的でやっている者もいますが、現在では、仮想通貨やゲームアイテム、アバターなどを売って利益を得ることが、サイバー犯罪者の大きな収益源となっています。また「Lineage」や「World of Warcraft」といったMMORPG(多人数同時参加型オンラインロールプレイングゲーム)、あるいは「Second Life」などの仮想空間を利用するユーザーは、そこでどのような脅威に直面する可能性があるかについても認識しておく必要があります。この問題については、2008年の「世界のセキュリティ脅威年間レポート」でESETのリサーチチームが詳しく解説しています。
前回の順位:4位
ESET NOD32アンチウイルスは、感染先のPCからユーザー情報を盗み出す各種マルウェアをWin32/Agentと総称します。
ユーザー情報を盗み出すために、通常、このマルウェアは自身を一時フォルダにコピーし、このファイル(または、ほかのシステムフォルダにランダムに作成されたファイル)を指すレジストリキーを追加して、システムが起動するたびにこのプロセスを実行させます。
エンドユーザーへの影響
この名称は、幅広い感染経路を持ち、単一の手法では感染を防ぐことのできない多種多様な脅威に対して用いられます。この種の脅威への感染を防ぐためには、すぐれたアンチマルウェアソフトウェア(もちろん、ESETの製品はその1つです)を使用し、最新のパッチを適用し、Autorun機能を無効にし、そして安易にリンクをクリックしないことが重要となります。
前回の順位:-
これは、Webページに挿入される難読化されたスクリプトです。このスクリプトは、iframeタグが不正に挿入された別のWebページにユーザーをリダイレクトします。このWebページにリダイレクトされると、悪意のあるコードがユーザーのPCにダウンロードされインストールされます。
エンドユーザーへの影響
不正なスクリプトやiframeは、マルウェアへの感染手段として最も多く用いられている手法の1つです。そのため可能な場合には、Webブラウザ、そしてPDFリーダーのスクリプト機能を初期設定で無効にするようにしてください。例えばFirefoxでは、NoScriptというオープンソースの拡張機能を使用することで、JavaScriptなど攻撃者に利用される可能性のある要素をサイトごとに有効/無効に設定することができます。
前回の順位:5位
INF/ConfickerはINF/Autorunに関連する脅威で、Confickerワームの最近の亜種の中で、autorun.infを用いて拡散するものを示します。
エンドユーザーへの影響
エンドユーザーの立場から見た場合、このマルウェアの存在も、Autorun機能を無効にすべき十分な理由となります。「INF/Autorun」をご覧ください。
前回の順位:6位
Salityは、ほかのファイルに感染するポリモーフィック型のマルウェアです。実行されると、あるサービスを開始するほか、システムのセキュリティに関連するレジストリキーを削除し、オペレーティングシステムが起動するたびに悪意のあるプロセスが開始されるようにするレジストリキーを作成します。
また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。
詳細については、こちらをご覧ください。
エンドユーザーへの影響
これは、自身が実行されたあと、感染の可能性を最大限に高め、できるかぎり長く潜伏できるようにするために幅広い手法を用いる典型的なマルウェアです。具体的には、ファイル感染、Autorunを利用した感染、ポリモーフィック技術、既知のセキュリティソフトウェアの停止、ドライブの列挙といった手法を使用します。セキュリティ関連のプロセスを無効にしようとするマルウェアは数多く存在するため、セキュリティソフトウェアが正常に動作しているかどうか定期的にチェックするようにしてください。Salityが登場から数年間も拡散し続けているという事実は、セキュリティ関連のプロセスを無効にするという戦略が非常にうまく機能していることを示しています。
前回の順位:19位
この脅威は、自分自身をWindowsの%system32%フォルダにコピーしたあと動作を開始します。Win32/Qhostは電子メールを介して拡散し、攻撃者が感染PCを乗っ取れるようにします。このトロイの木馬ファミリーは、hostsファイルを改ざんして特定ドメインへの通信をリダイレクトしようとします。
エンドユーザーへの影響
この脅威は、感染したPCのDNS設定を改ざんし、ドメイン名とIPアドレスの対応付けを変更するトロイの木馬の一種です。多くの場合、この改ざんは、感染したPCがセキュリティベンダーのサイトにアクセスして更新ファイルをダウンロードできないようにしたり、正規サイトへのアクセスを悪意のあるサイトにリダイレクトしたりするために行われます。Qhostは通常、金融機関サイトへのアクセスに対して中間者(Man in the Middle:MITM)攻撃を仕掛けるためにこの行為を行います。改ざんが行われた場合、アクセス先のサイトが本当に正しいサイトであるかどうかは、URLからは判断できなくなります。
前回の順位:10位
この名称で検出される脅威はスパイウェアです。このスパイウェアは、隠しユーザーアカウントを作成してリモートデスクトップ接続経由で通信を行えるようにし、感染先のPCから情報を盗み出して遠隔地に送信します。このマルウェアの詳細については、こちらをご覧ください。
エンドユーザーへの影響
Windowsのレジストリ設定に精通しているユーザーであれば、Win32/Spy.Ursnif.Aがシステムに存在するかどうかはさまざまな方法で確認することができますが、新しいアカウントが作成されたことを確認する方法を知らない一般ユーザーがこのスパイウェアの存在に気づくことは難しいでしょう。いずれにしても、このマルウェアが使用する設定の細かい部分は、その進化の過程で変更されていくものと予想されます。この種のスパイウェアへの感染を防ぐためには、アンチウイルスソフトウェアをはじめとするセキュリティソフトウェア(パーソナルファイアウォールなど)を導入および実行し、常に最新の状態に維持するだけでなく、最新のパッチを確実に適用し、意図しないファイルのダウンロードやリダイレクト、添付ファイルに注意するというあたりまえの対策を実施することが最も重要となります。
前回の順位:22位
HTML/ScrInject.Bというのは、ユーザーをマルウェアのダウンロードサイトへ自動的にリダイレクトする難読化されたスクリプトまたはiframeタグを含むWebページ(HTMLファイル)の汎用検出名です。
エンドユーザーへの影響
不正なスクリプトやiframeは、マルウェアへの感染手段として最も多く用いられている手法の1つです。そのため可能な場合には、Webブラウザ、そしてPDFリーダーのスクリプト機能を初期設定で無効にするようにしてください。例えばFirefoxでは、NoScriptというオープンソースの拡張機能を使用することで、JavaScriptなど攻撃者に利用される可能性のある要素をサイトごとに有効/無効に設定することができます。