第4回　ダウンローダをブロックする手段

中井　奨

日経コミュニケーション

2008.03.21

改ざんされたサイトも見破る新サービス

　ただ最近，ダウンローダ型ウイルスへの感染，あるいはその後のウイルスへの感染を防ぐための新しい手段が登場してきた。その一つが，Webサイトの危険性を事前にチェックする，Webサイト評価サービスである（図4，表1）。

図4●Webサイトの危険性を事前に評価してアクセスを回避する仕組み
不正サイトや，不正コードが仕込まれた正規サイトの検出の効果も期待できそうだ。
[画像のクリックで拡大表示]

表1●セキュリティ・ベンダーが提供するWebサイトの危険性評価サービスの例

　従来のURLフィルタリングでは，「ギャンブル」，「アダルト」といったカテゴリ別にWebサイトを分類して，アクセスを制限する。悪質なサイトを事前に見つけてカテゴリに登録するが，一般的に使われる正規サイトの改ざんを検知して防御するのは難しい。Webサイト評価サービスを使って，アクセス前に不正コードが埋め込まれた疑いがあることに気付ければ，サイトへのアクセスを避けられ，感染を防げる。

　Webサイト評価サービスの仕組みはこうだ。Webサイトを巡回したり，ハニーポットに引っかかったウイルスなどをあらかじめ収集し，サイトのドメインやIPアドレス，スパム・メール中のURLなどの情報をデータベースに登録する。クライアント・パソコンがWebサイトにアクセスする際に，このデータベースにアクセス先サイトの評価を確認し，悪質サイトと判定されれば通信をブロックする。こうしたWebサイトを事前に評価するサービスは，セキュアブレイン，トレンドマイクロ，マカフィーなどが提供している。

　このほかにも，Webサイト評価の仕組みを提供する動きがある。セキュリティ・ベンダーのセキュアブレインは，危険なサイトの情報を収集する「Webクローラ」を開発している。悪質サイトだけでなく正規サイトも対象として，アクセス時に発生する状況やダウンロードされるプログラムの表面解析をする。ユーザーはこうして収集した情報を基にして，事前に危険性を検知できる。

　同社はウイルス駆除ツール生成システム「Zero-Hour Response System」を提供している。これとWebクローラを併用すれば，「ダウンロードした不正プログラムの挙動を解析し，駆除ツールを作成できる」（星澤執行役員）。

ユーザー認証でダウンローダの動きを封じる

　万が一改ざんされたサイトにアクセスしてしまった場合は，被害をいかに最小限に抑えるかが重要になる。こうした視点に立ち，NTTPCコミュニケーションズの小山覚執行役員ネットワーク事業部バリューサービス部長事業企画部長は，プロキシ・サーバーによる認証を活用した対策を提案する。

　具体的には，プロキシ・サーバーを認証モードに設定して，一定時間ごとまたはWebブラウザを起動するたびにIDとパスワードで認証するように設定する。ダウンローダのように外部のWebサーバーと通信を行うウイルスは，プロキシ・サーバーの認証要求に応答できない。このためプロキシがダウンローダの通信を遮断し，新たなウイルスの侵入を防止できる。

　さらにプロキシ・サーバーの通信ログを見れば，ダウンローダ型ウイルスの検出が可能になる（図5）。「ログを見る習慣をつければ，ウイルス感染の発見率は上がる」と小山執行役員は強調する。