ブルーコートシステムズは2010年3月3日、Gumblar(ガンブラー)攻撃への効果的な対策として、同社のプロキシアプライアンス「ProxySG」とWebセキュリティ用クラウドサービス「WebPulse」を組み合わせたソリューションについて説明した。
Gumblar攻撃への一般的な対策と問題点
Gumblar攻撃とは、正規のWebサイトを悪意ある第三者が改ざんすることで、そのWebサイトにアクセスしたユーザーが次々とマルウエアに感染する攻撃手法のことだ(写真1)。同社のSEディレクターである小林 岳夫氏の説明によると、ユーザーから見たGumblar攻撃への一般的な対策としては、(1)シグネチャーベースのアンチウイルスソフトの利用、(2)ぜい弱性を修正したプラグインやOSの利用、(3)改ざんされた正規サイト上での対策――の三つが挙げられる。
それぞれの対策には特徴がある。
(1)はパソコンにアンチウイルスソフトを導入することを指す。ユーザーのパソコンで対処できるのが特徴だが、アンチウイルスソフトベンダーがパターンファイル(定義ファイル)を更新するまでに時間がかかるという問題点がある。
(2)はOSのぜい弱性やFlash、Acrobatのぜい弱性を修正するセキュリティパッチを当てることを指す。こうすることで、マルウエア配布サイト(写真1の右「マルウエアA」と書かれたサイト)から最初にマルウエア本体がダウンロードされる時点での感染が防げる。
以上の二つはパソコンユーザーが取る措置だ。これに対して(3)は改ざんされた正規サイトの管理者や、アクセス元のユーザー企業のシステム担当者の対応となる。単純な方法としては、改ざんされたWebサイトにアクセスできなくすることが挙げられる。こうすればマルウエア配布サイトへのリダイレクトは発生しない。その代わりユーザーは、正規サイトが元々持っているサービスを受けられない状態になる。
一般的な対策が持つ問題点を解消する
そこで小林氏は、同社のProxySGとWebPulseを組み合わせたGumblar対策ソリューションを紹介した。
ユーザー企業は自社ネットワークにProxySGを設置し、その上で「BlueCoat Web Filter」(BCWF)を動作させる。BCWFはProxySG上で動作するURLフィルターだ。そのデータベースには、怪しいWebサイトなどのURLがカテゴリー分けされている。
ユーザーはProxySGとBCWFを通して改ざんされた正規サイトにアクセスし、マルウエア配布サイトにリダイレクトされる。このリダイレクト先のURLがマルウエア配布サイトのものかどうかをBCWFでチェックし、マルウエア配布サイトであればリダイレクトされないように通信をブロックする(写真2)。
そういう場合、ProxySGはクラウドサービスのWebPulseにリダイレクト先のURLを判定させる(写真3)。WebPulseがリアルタイムでマルウエア配布サイトにアクセスしてカテゴリー評価を行い(写真4)、ProxySGにその結果を返してBCWFのカテゴリー情報をアップデートするのである。アップデートした結果、リダイレクト先が“クロ”だった場合、リダイレクトはされない。
ここで紹介したソリューションを用いれば、改ざんされた正規のWebサイトのサービスは利用可能なままで、マルウエア配布サイトへのリダイレクトが行われないことになる。つまり、一般的な対策での(3)は不要になる。
小林氏によると、このソリューションを導入すれば、ユーザーサイドでは(1)と(2)も考慮しなくてよいと言う。(1)はマルウエア配布サイトへのアクセスが起こらないためで、(2)はマルウエアがダウンロードされてこないのでそもそもソフトウエアのぜい弱性を突かれることがないからだ。
もちろんこれらはGumblar攻撃単体に限った話であり、一般的なマルウエア対策をしておくことが望ましい。外部から持ち込まれたウイルスによる被害は、いわゆるUSBウイルスを見ても明らかだからだ。同社ではProxySGに加えて「ProxyAV」というアプライアンスを利用することでそのような脅威にも対応できるとしている。
ブルーコートシステムズからの申し入れにより、小林 岳夫氏の役職名を当初掲載のものから変更しました。[2010/03/04 12:30]
