押さえておきたいセキュリティ関連の話題。今回はまず、米グーグルが発表した、マルウエアが仕込まれている不正サイトに関する調査結果の概要を紹介しよう。それによると、不正サイトのアクセスを警告するブラウザー向け拡張機能「Google Safe Browsing」を通じて発するアラートは、1日当たり約300万回に上るという。

 同調査は過去4年間にわたって約800万サイトでホスティングされている1億6000万ページを対象に分析したもので、詳細な報告書「Trends in Circumventing Web-Malware Detection(PDF文書)」をWeb上で公開している。

 ユーザーをだましてマルウエアをインストールさせる「ソーシャルエンジニアリング」を使う手法では、通常、マルウエアはウイルス対策ソフトやブラウザーの拡張機能を装う。ソーシャルエンジニアリングを利用した不正サイトはこれまで急速に増加し、現在も増え続けている。しかし、マルウエア配信サイトのうち、ソーシャルエンジニアリングに依存している割合はわずか2%しかない。

マルウエア配信サイト数とソーシャルエンジニアリング利用サイト数のグラフ

 一方、ソーシャルエンジニアリングよりも頻繁に見かけるようになったのが、ブラウザーやプラグインの脆弱性を突いて自動的にマルウエアをインストールさせようとする「ドライブバイダウンロード」だ。どの脆弱性が悪用されるか時間を追って分析したところ、攻撃者は検出を逃れるために、次々に攻撃する脆弱性を新しいものに切り替えている。ほとんどの脆弱性は、新たな脆弱性が見つかるまでのわずかな期間しか使われない。目立った例外としてはMDAC(Microsoft Data Access Components)に存在する脆弱性があり、大半の攻撃ツールで利用されている。

CVE別でみたマルウエア配信サイトにおける利用率の推移

 またグーグルは、検出を免れるためにクローキングと呼ばれる手法を使ったマルウエア配信の増加を指摘している。クローキングは、検出システムに対しては問題のないコンテンツを表示し、サイトを訪問したユーザーに対しては不正コンテンツを表示する。同社は、クローキングをかわすために、通常のユーザートラフィックに見せかけたさまざまな方法でサイトスキャンを行っているという。

クローキング手法を使ったサイト数のグラフ

 スロバキアのイーセットは、グーグルの上記ブログを読んだユーザーから寄せられた質問に答えるかたちで、IPクローキングについてブログで解説を加えている。

質問:IPクローキングとは何か

 クローキングとは、不正URLへのアクセスがマルウエア検出システムからのものか、攻撃対象となるユーザーからのものかを区別するテクニック。ここでいう検知システムは、ウイルス対策研究所やアンチウイルステスター、セキュリティ専門家が使用するIDS(侵入検知システム)などの自動検出だけでなく、研究者が手動で行う調査も含まれる。単一あるいは近接するIPアドレスによる複数回のアクセスは、ある会社がサンプルを収集しようとしていることを示すため、このような場合は不正ペイロードを配信せずに無害な振る舞いを見せる。

質問:クローキングは真の脅威か、長い間使われている手法か

 これは、ボットネットやキーロガーのような脅威とは少し違う。イーセットの説明によれば、不正なWebサイトが閉鎖されないように、あるいは配信するマルウエアが狙いのパソコンに侵入する前に検出されないようにするための防衛手段の一つである。最も初期のマルウエアのころから使われ、同社は何年も前から認識していたという。サーバーサイドポリモーフィズムと同じくらい古いが、当然のことながらかつてより精巧さを増している。

 しかし、クローキングを行わないマルウエアと比べて、ユーザーが攻撃を受ける危険性が高まるというわけではない。クローキングはセキュリティ研究所やセキュリティソフトウエアへの対策であり、エンドユーザーに焦点を当てた仕組みではないためだ。また調査する側の対抗手段とし、IPアドレスをさまざまに切り替えたり、アクセスの間隔に変化をもたせたりする方法を同社は挙げている。