いつも閲覧しているサイトの広告から攻撃を仕掛けるエクスプロイトキット「ステガノ」

この記事をシェア

偽サイトだけでなく、いつも閲覧しているWebサイトにも危険な罠が仕組まれている場合がある。例えばマルウェア「ステガノ」(Stegano)は、正規サイトであっても、そこに表示されているバナー広告の画像データの中に不正コードを埋め込むことによって、閲覧者の端末を攻撃しようとする。

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。

いつも閲覧しているサイトの広告から攻撃を仕掛けるエクスプロイトキット「ステガノ」

ESETの研究者は2016年12月に、多数の著名なニュースWebサイト上の悪意のある広告を通じて拡散する新しい「エクスプロイトキット」を発見した。これらのWebサイトには毎日何百万人もの訪問者がある。少なくとも攻撃者は2016年10月からInternet Explorerのユーザーを標的とし、そのユーザーのFlash Playerに脆弱性がないかスキャンを実施してきた。そして、そのFlash Playerの脆弱性を狙うことにより、さまざまなタイプのマルウェアを標的コンピューターにダウンロードし、実行するよう試みてきた。

この攻撃は「マルバタイジング」 (悪意のある広告)と呼ばれるカテゴリーに属し、不正コードが広告バナーを通じて拡散するものである。

さらに悪いことに、攻撃者はこっそりと攻撃を仕掛けてくる。そのため、分析はとても複雑であり、詳細な調査レポートを必然的に伴う。

ESETの主任研究員であるロバート・リポブスキー(Robert Lipovsky)は、以下のように、できるだけ専門的にならないように本件について解説を行っている。

Q 今回の発見は、インターネットユーザーに何を意味するのか?

A これは「毒入り画素」を持つバナーが存在することを意味している。この画素により新たなエクスプロイトキットが持ち込まれ、攻撃者は遠隔から被害者のコンピューターにマルウェアをインストールすることができる。被害者はマルウェアの広告コンテンツをクリックする必要すらなく、その広告を表示しているWebサイトを訪問するだけで感染してしまう。被害者のコンピューターがFlash Playerの脆弱性のあるバージョンを実行している場合には、そのマシンは自動的にその脆弱性を狙ってシステムに侵入してくるのだ。

この状態にまで至ると、必要なマルウェアをダウンロードし実行するために必要な準備が整っている。ESETが分析したデータの中には、バンキングトロージャン、バックドアスパイウェアなどが含まれており、被害者となるエンドユーザーはランサムウェア攻撃などの被害に遭うことになる。

この脅威は、ソフトウェアに必要なパッチを全て当て、また、著名なセキュリティソリューションによりコンピューターを保護することがいかに重要かということを、再確認させてくれる。本件に限って言えば、この2つの対策のどちらか一方でも実施しておけば、攻撃を回避することができる。

Q その毒入り画素はどこにあるのか?

A ステガノという名前は「ステガノグラフィ」(steganography)を意味しており、これは、攻撃者が不正コードの一部を広告バナーの画素内に隠すのに用いられる。具体的には、攻撃者は各画素の透明度を制御するパラメーターの中に、そのコードを隠している。この方法であれば、画像の(色)トーンがほんの少し変化するものの、実際にはその変化は肉眼では識別されることはなく、被害者が気付くこともない。

Q その攻撃はどのように実施されるのか?

A 本件で何が起こっているのかについて、下記の通りに説明するのが最も分かりやすいだろう。

Q 分析の結果、ステガノというエクスプロイトキットは、検知されないように工夫を凝らしていることが分かっている。なぜそれほどまで執拗に検知を回避しようとするのか?

A 広告プラットフォーム上の不正コンテンツを発見しブロックするよう設計された対策を回避することに、攻撃者は成功している。これにより、Webサイト自体は本物であるにもかかわらず、知らず知らずのうちに何百万人もの潜在的被害者に感染コンテンツを提供してしまうという状況が生じている。

さらに、その不正広告は、特定の標的グループについてのみ掲示されるものとなっており、その標的グループは攻撃者のサーバーにより選択される。どのように標的が選択されているのか、その意思決定ロジックは分かっていないが、このことは、攻撃者が広告宣伝プラットフォーム提供者側からの疑いを避けるのに一役買っている。

しかし、攻撃者が努めてこっそり活動をしている理由はそれだけではなく、以下の点こそが、攻撃者が執拗に検知を回避しようとしている理由である。

すなわち、ステガノの背後にいる犯罪者は、経験豊富なサイバーセキュリティ研究チームの「マルウェア狩り」を回避しようとしている。これを回避するにはコードを画素の中に隠すだけでは不十分であり、そのために、コードが監視されていないかどうかの一連のチェック機能を実装している。もし何らかの監視が検知された場合には、途端にステガノの活動は停止し、不正コンテンツは掲示されないようになっているのである。

Q コードが監視されているかどうかを攻撃者はどのようにして知ることができるのか?

A ステガノは主に自身がサンドボックスの中に置かれているか否かを、もしくは自身が検知目的で構築された仮想化環境の中で実行されていているか否かを検知しようとする。また、そのマルウェアの情報をベンダーに送信するようなセキュリティソフトがマシン上に存在しないかどうかをチェックする。

Q 毒入り画素を含む広告をすでに閲覧したユーザーはどれぐらいいるのか?

A ESETは、2016年10月から11月の2カ月間で、その不正広告は幾つかのとても人気のあるWebサイト上にて100万人以上のユーザーに表示されていたことを把握している(ただしこの数値は、ESET LiveGrid®(早期警告システム)のユーザーの独自の観測結果に基づいた控えめな見積もりであることに留意されたい)。とはいえ、これらのWebサイトの幾つかでは訪問者数は毎日数百万にものぼる。

Q より具体的に言うと、どのサイトが影響を受けていたのか?

A 本調査の目的は、攻撃者の活動を明らかにすることであり、そしてこの脅威からユーザーを守ることにある。本件では、影響を受けていたWebサイトの公開はこの観点から何ら付加価値を提供することはない。それとは反対に、これらのサイトを訪れていない人に間違ったセキュリティ感覚を与えかねない。というのも、このバナーは広告を掲示するWebサイトであればどのサイトでも実際には掲示され得るものであったからである。

この公開が被害のあったWebサイトに与える風評被害についても述べておく必要がある。特に、これらのWebサイトがこうした攻撃を防ぐためにできることは何もなかった点に留意されたい。というのも、その標的を絞った広告はこれらのページの側では全く管理できないものであったためである。

Q エクスプロイトキット攻撃から身を守るために、何をすべきか?

A まず、自分のコンピューターをしっかりとセキュリティ対策している人々はこれらの攻撃に影響を受けることはないことを、あらためて強調したい。システムと全てのアプリケーションにしっかりとパッチを当て、信頼できるウイルス対策ソフトを利用することが、このような攻撃を防ぐ強力な予防策となる。

しかし、不用心なユーザーにとってマルウェアを含む広告(=マルバタイジング)は深刻な脅威となっており、訪れたWebサイトに不正バナーが表示されないことだけが、被害を回避する策となっているのが現状である。

この記事をシェア

業務PCのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!