ドライブバイダウンロード攻撃とは、Webサイトを閲覧した際、勝手にマルウェアをダウンロードさせる攻撃手法である。ユーザーが気づかぬ間にマルウェアに感染し、感染拡大に至るため、過去に幾度も大流行している。この記事では、ドライブバイダウンロード攻撃の仕組みや過去の事例、対策方法を解説する。
ドライブバイダウンロード攻撃とは
ドライブバイダウンロード攻撃は、攻撃者が気付かれぬよう、ユーザーの端末にマルウェアのダウンロードとインストールを試みる攻撃のことだ。例えば、ユーザーがWebサイトを訪問した際に自動的にマルウェアがダウンロード、インストールされてしまう。
ドライブバイダウンロード攻撃は、ユーザーが利用する端末のOSやWebブラウザー、アプリケーションなどの脆弱性を突いて行われるため、適切な対策を講じていない場合、ユーザーが注意していたとしても被害につながりやすい。過去には多くのWebブラウザーに組み込まれていた、Adobe Flash PlayerやMicrosoft Silverlightなどのプラグインの脆弱性を狙う攻撃が発生していた。
近年こそ、爆発的な感染拡大はないものの、これまでにも世界各地で感染が広がった事例は数え切れないほどある。今後もドライブバイダウンロード攻撃が応用される可能性も十分に考えられるため、攻撃の主要な手法や代表的な被害事例を理解し、基本的な対策を徹底しておきたい。
ドライブバイダウンロード攻撃の主な手口
ドライブバイダウンロード攻撃は、多くのユーザーがアクセスする著名なサイトを改ざんすることで、被害に誘導するケースが少なくない。以下、その代表的な攻撃手順を解説していく。
1)攻撃対象となるWebサイトの調査
さまざまなツールや自動スキャンソフトなどを使って、脆弱性を抱えたWebサイトを調査する。Webサイトの脆弱性を突く攻撃としては、XSS(クロスサイト・スクリプティング)やCSRF(クロスサイト・リクエスト・フォージェリ)、SQLインジェクションなどがある。こうした攻撃が可能な、脆弱性を抱えるWebサイトを見付けることが、攻撃の起点となる。また、あらかじめ攻撃対象となるWebサイトを絞り、対象サイトのFTPアカウント情報を不正に取得しようとするケースもある。
2)Webサイト改ざんによる不正プログラムの設置
Webサイトの脆弱性を見つけ出すと、その脆弱性を突き、XSSやCSRFなどの攻撃でWebサイトの改ざんを試みる。または、不正に取得したFTPのアカウント情報を利用して、Webサイトのデータを直接書き換える場合もある。こうして不正なプログラム、あるいは攻撃に用いるWebページを設置する。不正なプログラムが仕込まれた、別のWebサイトへ誘導するようにWebサイトを改ざんするケースもある。
3)ユーザーのアクセス時に攻撃実行
改ざんされたWebサイトにユーザーがアクセスすると、そこに仕込まれた不正なプログラムが実行される。その際、ユーザー端末のOSやWebブラウザーにそのプログラムが狙っている脆弱性が存在する場合、マルウェアが自動的にダウンロードされてしまう。
その後、ダウンロードされたファイルの実行を要求し、その要求にユーザーが応じてしまうとインストールが行われる。このとき、何かしらのソフトウェアやアプリケーションなどのアップデートに見せかけて、インストールを要求するケースが多い。
ドライブバイダウンロード攻撃の対象となるのはパソコンだけではない。AndroidやiOSを搭載したスマートフォン(以下、スマホ)も攻撃対象となり得る。実際に、過去にはAndroid端末への被害事例も生じている。
代表的なドライブバイダウンロード攻撃の事例
ドライブバイダウンロード攻撃は、従来から行われてきた。以下、代表的な事例を紹介する。
ガンブラー攻撃
ドライブバイダウンロード攻撃の元祖とも言われるのが、2009年末から2010年にかけて世界中で流行したガンブラー攻撃である。ガンブラー攻撃では、まず、攻撃者がWebサーバーのFTPアカウントを不正に取得し、Webサイトを改ざんした。その改ざんされたWebサイトにアクセスしたユーザーは、別途設置された悪意のあるWebサイトに誘導され、Webブラウザーなどの脆弱性を突いた攻撃が行われる。脆弱性が存在していた場合、そこからマルウェアに感染してしまうという流れだ。
Android端末への攻撃
2014年、欧州の某国の新聞社が運営するWebサイトに対しAndroid端末でアクセスした際、自動的にマルウェアがダウンロードされてしまうドライブバイダウンロード攻撃が発生した。ダウンロードが終わると、ポップアップウィンドウが開き、正規を装った「アプリマネージャーをアップデートするように」というメッセージが表示される。このメッセージに対して、「はい」をクリックすると、ダウンロードしたマルウェアがインストールされてしまう。
RIGエクスプロイトキットを使った攻撃
2016年後半から2017年にかけて、RIGエクスプロイトキットを用いたドライブバイダウンロード攻撃が流行した。エクスプロイトキットとは、攻撃者がパソコンの脆弱性を利用する際に用いるクラッキングツールであり、RIGエクスプロイトキットにはランサムウェアやインターネットバンキングマルウェアなどが含まれている。特に、不正な広告バナーからRIGエクスプロイトキットのマルウェアが仕込まれた悪意のあるWebサイトへ誘導される事例が多発した。
トロイの木馬との複合的な攻撃も
マルウェアの種類の1つとして、トロイの木馬と呼ばれるものがある。トロイの木馬は、古くから存在するマルウェアであり、ウイルスやワームとは異なって自己複製機能を持たないことが特徴だ。無害なプログラムと装って端末に侵入し、バックドアを経由してほかのマルウェアのダウンロードなどを行う。
ドライブバイダウンロード攻撃は、ユーザーが気付かないうちにマルウェア感染を狙う攻撃であるため、一定期間の潜伏を経た後、密かに動作するトロイの木馬と非常に相性が良いのだ。再び猛威を振るいはじめた「Emotet」も、トロイの木馬の進化系とみなすことができる。今後も、新たな攻撃において、標的型攻撃メールだけでなく、ドライブバイダウンロード攻撃が起点となる可能性もある。
ドライブバイダウンロード攻撃への対策
ここまで説明してきたように、ドライブバイダウンロード攻撃は大きな脅威の1つである。ドライブバイダウンロード攻撃を防ぐには、Webサイトの運営側とユーザー側双方に対策が求められる。
1)Webサイト運営側の主な対策
ドライブバイダウンロード攻撃を防ぐために、まず重要なのはWebサイトへの不正アクセス、改ざんを防ぐことだ。Webサイト運営側の対策としては、主に以下の4つが挙げられる。
・Webサイトの脆弱性を解消
Adobe Flash Player、Microsoft Silverlightのサポート終了によって、それらに起因する脆弱性のリスクは大きく軽減した。しかし、先述したように、XSSやCSRF、SQLインジェクションなどの脆弱性が残されているWebサイトも少なくない。最低限、既知の脆弱性を解消するだけでも、関連するリスクを低減できる。
・Web改ざん検知サービスを利用
Webサイトのサーバーを自社で運用するのではなく、ホスティングサービスを利用する場合も多いだろう。その場合、そのホスティング会社が提供するWeb改ざん検知サービスを利用することで、Web改ざんが行われた場合には通知されるため、迅速な対処が可能となる。
・WAFの導入
Webアプリケーションの脆弱性を突いた攻撃に対処するWAF(Web Application Firewall)を導入することで、不正なプログラムが仕込まれる際のアクセスを検知、遮断することが可能になる。
・FTPやCMSなどの認証を強固に設定
Webサイトの更新に利用するFTPやCMS(Content Management System)の認証を強固にすることで、不正な侵入を防ぐことができる。例えば、WordPressをはじめ、最近のCMSでは二段階認証を利用できるものも増えてきている。
また、基本的な対策として、Webサイトを運営する関係者のパソコンには必ずセキュリティソフトを導入しておくことも大切だ。加えて、OSやアプリケーションも常に最新の状態にアップデートしておくことで、運営関係者の端末を経由したWebサイトへの不正アクセス、改ざんを抑制できる。
2)ユーザー側の主な対策
アクセスするWebサイトが改ざんされ、不正なプログラムが仕込まれていなければ、原則としてドライブバイダウンロード攻撃のリスクは生じないはずだ。しかし、実際問題として、攻撃者は手を替え品を替え、マルウェアのダウンロード、インストールを狙っている。そうした前提に立ち、ユーザーとしても適切な対策が求められる。
・セキュリティソフトの導入
セキュリティソフトは、攻撃者が次々と開発するマルウェアの情報を収集し、定義ファイルをアップデートしてユーザーに提供している。既知のマルウェアについては高い確率で検出できるため、マルウェアの感染リスクは低減される。
また、未知のマルウェアにおいても、さまざまな検出アルゴリズムにより、検知を行えるセキュリティソフトもある。例えば、企業ユーザー向けセキュリティソフト「ESET PROTECT Advanced クラウド」には、クラウドベース保護「ESET LiveGrid」をはじめ、さまざまなマルウェアを検知するための機能が搭載されている。巧妙化する攻撃手法に対して、多層的に防御することで、マルウェアの感染からユーザーを保護するのだ。
・OSやアプリケーションを最新の状態に維持
先述したように、ドライブバイダウンロード攻撃は、OSやWebブラウザーなどソフトウェアの脆弱性を突く攻撃だ。すなわち、OSやアプリケーションの脆弱性が解消されていれば、攻撃を受けるリスクは大きく下がることになる。OSやWebブラウザーなどに重大な脆弱性が発見されると、その脆弱性を解消するためのアップデートやパッチが提供される。そうしたアップデートを常に適用し、OSやアプリケーションを最新の状態に維持することで、既知の脆弱性を突く攻撃から端末を保護することができる。
ユーザー側も二段構えのセキュリティ対策が求められる
ユーザー側がどれだけ十分に注意してWebブラウジングをしていたとしても、正規のWebサイトが改ざんされてしまえば、マルウェアのダウンロードを防ぐのは困難を極める。巧妙な手口を用いるドライブバイダウンロード攻撃は、その攻撃の糸口をユーザーが判断するのは難しいというのが実情だ。
そのような場合であっても、セキュリティソフトを導入しておくことで、少なくとも既知のマルウェアのインストールは防げるはずだ。ユーザーとしても、いざという時のための備えとして、自らの注意を怠らないことに加えて、セキュリティソフトの導入についても検討するようにしてほしい。
