インターネット環境では、悪意のあるWebサイト*1によるウイルス感染などがここ1、2年で急増している。そこでセキュリティ・ソフト・ベンダーの多くは、悪意のあるWebサイトへのアクセスをブロックするためにWebレピュテーションをセキュリティソフトに標準で搭載した。
Webレピュテーションの基本的な動きは、前回紹介した。ドメイン名やIPアドレスなどの情報から、アクセス先の怪しさを判定する技術である。
今回は、Webからの脅威のなかで2008年以降に増えている「Fast-Flux」と呼ばれる攻撃手法と、そのFast-FluxがWebレピュテーションに与える影響を紹介する。そしてセキュリティ・ソフト・ベンダーがFast-Fluxといった新しい攻撃にも対応できるように情報収集を工夫している点にも触れる。最後に、Webレピュテーションが応用されている例をいくつか取り上げる。パターンマッチング*2やヒューリスティック*3といったウイルス検知技術を補完するだけでなく、それらに取って代わるものとして注目を集めるWebレピュテーションを詳しく見ていこう。
サーバーを隠して時間稼ぎする
攻撃者は、悪意のあるWebサイトが見つからないように工夫している。攻撃用のサーバーを見つかりにくくして、なるべく長い期間そのサーバーを利用したいと考えているからだ。サーバーの存在が公になると、各セキュリティソフトがアクセスを制限し、さらにセキュリティ・ソフト・ベンダーなどが、サーバーを接続しているインターネット接続事業者などに働きかけて、アクセスを遮断するといった対策を講じてしまう。
最近では、高度なテクニックを使ってサーバーを隠す攻撃手法が登場している。その一つが、Fast-Fluxである。
Fast-Fluxは、複数台のコンピュータを使ってサーバーを隠す攻撃手法だ。多くの場合、別の攻撃者がウイルスを感染させるなどして外部から自由に操作できるようにした、一般ユーザーのコンピュータを使う。これをボットと呼び、それらで構成されるネットワークをボットネットという。
Fast-Fluxでは、攻撃者がDNSサーバーと複数台のプロキシサーバーを用意する(図1)。このプロキシサーバーは、悪意のあるWebサイトの代理サーバーとして働くように設定されている(図1のプロキシA~C)。つまり、このプロキシサーバーにアクセスすると悪意のあるWebサイトと同様のアクセス結果をもたらすようになっている。
DNSサーバーは、悪意のあるWebサイトに誘導するためのドメイン名を名前解決する。具体的には、特定のドメイン名の問い合わせがくると、複数台あるプロキシサーバーのなかから選んだ一つのIPアドレスを答える。このとき、答えるプロキシサーバーは、問い合わせのタイミングによって変わるように設定しておく。この仕組みは、特殊な運用方法ではない。一つのドメイン名を複数のサーバーで運用して負荷分散する、DNSラウンドロビンと呼ぶ一般的なものだ。
攻撃者はこのようなボットネットを用意すると、DNSサーバーで設定したドメイン名へのリンクをスパムメールや掲示板などに載せる(図1の(1))。ユーザーはこのリンクをうっかりクリックしてしまう(同(2))。すると、OSがドメイン名(図1ではattack.example.com)を名前解決するために、DNSサーバーに問い合わせる(同(3))。そして、攻撃者が用意したDNSサーバーにたどりつくと、そのDNSサーバーは複数あるプロキシのIPアドレスのなかの一つのアドレス(図ではプロキシAの「aaa.aaa.aaa.aaa」)を答える(同(4))。ユーザーのコンピュータはそのIPアドレスを受け取ると、WebブラウザーでそのIPアドレスにアクセスする(同(5))。このアクセスによって、ユーザーはプロキシを通じて、悪意のあるWebサイトの被害に遭ってしまう。
図1では、Fast-Fluxに三つのプロキシサーバーを使用する例を示した。しかし、実際にはもっと多くのプロキシを使用することがある。また、ドメイン名やプロキシを入れ替えることもある。そのため、プロキシの先にある悪意のあるWebサイトが見つかりにくくなる。
