本記事は、Microsoft Security のブログ“What You Should Know About Drive-By Download Attacks - Part 1” (2011年12 月9 日公開) を翻訳した記事です。
前回のブログ (英語情報) では、Java エクスプロイトを詳しく解説し、すべてのソリューションを最新の状態に保つ必要性を強調しました。その記事を書いた後、お客様から攻撃者が脆弱性を利用してシステムをどのように侵害するのか詳しく知りたいという質問をいくつか受けました。そこで、この 2 部構成のブログで、最新の状態に保たれていないソフトウェアを利用する攻撃者の常套手段であるドライブバイ ダウンロード攻撃について詳しく解説することにしました。これらの記事では、マイクロソフト セキュリティ インテリジェンス レポートで数回に分けて公開したデータと分析を引用しています。ドライブバイ ダウンロード攻撃には、いくつかのバリエーションがあります。エクスプロイトは、多くの場合、Web ページと共に電子メールやインスタント メッセージング (IM) サービスを介して配布されます。ここでは、Web ページによるバリエーションのみを取り上げて、簡潔にまとめたいと思います。
ドライブバイ ダウンロード サイトとは、Web ブラウザーやブラウザー アドオンにある特定の脆弱性をターゲットとするエクスプロイトを 1 つ以上ホスティングしている Web サイトのことです。マルウェアを配布する攻撃者は、さまざまなテクニックを駆使して、侵害された Web サイトや意図的に悪意のあるコードをホスティングしている Web サイトにインターネット ユーザーを導きます。脆弱性が存在するコンピューターを使用しているユーザーは、何もダウンロードしようとしなくても、そのような Web サイトにアクセスするだけで知らないうちにマルウェアに感染する可能性があります。
通常、このテクニックでは、侵入によってサイトにアクセスしたり、ブログのコメント欄など、セキュリティの低い Web フォームに悪意のあるコードを投稿することで、正当な Web サイトにエクスプロイト コードを投稿します。ほとんどの場合、エクスプロイト コード自体は別の Web サイトでホスティングされており、悪意のあるスクリプト コードやインライン フレーム (IFrame) に埋め込まれた URL などのテクニックによって侵害された Web ページから公開されます。IFrame とは、別の HTML ドキュメントに埋め込まれている HTML ドキュメントです。
ドライブバイ ダウンロード攻撃では、IFrame を使用して、別の HTML ページを現在のページのウィンドウに読み込むケースがほとんどです。IFrame はピクセル 1 個分の大きさしかないので、肉眼で検出するのは不可能です。IFrame は別の Web ページを読み込むため、犯罪者はそれを利用して、悪意のある HTML コンテンツ (マルウェアをダウンロードしてインストールするスクリプトなど) を、信頼されている Web サイトがホスティングする正当な HTML ページに配置します。
攻撃者は通常、Web ブラウザーの脆弱性や、ブラウザー環境で一般的なメディア コンテンツの表示を可能にする ActiveX コントロールなどのブラウザー アドオンの脆弱性を利用します。これらのアドオンは、販売前にコンピューター メーカーによってあらかじめインストールされている場合があります。ユーザーは、脆弱性のあるアドオンを使用していない場合もあれば、インストールされているのを知らない場合もあります。こうしたソフトウェアのほとんどは更新機能がないため、ソフトウェア ベンダーが脆弱性を修正する更新プログラムを公開しても、ユーザーは更新プログラムが公開されたことを知らず、取得方法も把握していないので、結果的に攻撃に対する脆弱性が放置されることになります。
悪意のある Web サイトのほとんどは、複数のエクスプロイトをまとめた「エクスプロイト キット」を使用します。エクスプロイト キットの作成者はキットを継続的に更新しており、あまり効果のないエクスプロイトを削除して新しいエクスプロイトに置き換えています。通常、エクスプロイト キットに含まれているエクスプロイトは、できるだけ多くのシステムを攻撃するために、複数の異なるプラットフォーム、ブラウザー、異なるソフトウェア ベンダーのアドオンをターゲットにしています。使用するエクスプロイト キットに格納するエクスプロイトの数については、攻撃者ごとに考え方がまったく異なります。たとえば、23 種類のエクスプロイトをまとめたエクスプロイト キットが発見されたことがあります。私はこれを「懸賞戦略 (lottery strategy)」と呼んでいます。攻撃者は、1 つのキットに格納された多くのエクスプロイトを利用することで、未修正の脆弱性に当たる可能性を最大限まで高めようとしているからです。一方で、一般的な脆弱性を確実に利用できる 2、3 個のエクスプロイトをエクスプロイト キットに格納する攻撃者もいます。おそらく、こうした攻撃者は投資に対する十分な見返りを得ており、キットに余分なエクスプロイトを格納する必要性を感じていないと思われます。
マイクロソフト セキュリティ インテリジェンス レポート第 8 版には、2009 年後半に頻繁にターゲットとなった特定のブラウザーベースの脆弱性に関するデータを収録しています。このデータから、攻撃者がドライブバイ ダウンロード攻撃のターゲットにしているソフトウェアのタイプを読み取れます。
図: 2009 年後半の各月に発生した全エクスプロイトのうち、上位 10 個のブラウザーベースのエクスプロイト
ドライブバイ ダウンロード攻撃をホスティングする Web ページとマルウェア ホスティング サイトは、世界各地にさまざまな分布で見つかっています。各地域のドライブバイ ホスティング サイトの数は動きが激しく、急激に変化しています。以下のデータは、マイクロソフト セキュリティ インテリジェンス レポート第 11 版で公開されたものです。このデータで注目すべき点は、ドライブバイ ダウンロードをホスティングしているシステムとマルウェア ホスティング サイトのほとんどは侵害されたシステムであり、そうしたシステムのオーナーは別のインターネット ユーザーを攻撃するために自分のシステムが利用されていることを知らないという事実です。
左図: 2011 年第 2 四半期の各国/地域ごとの全 URL に対するドライブバイ ダウンロード ページの割合。右図: 2011 年第 2 四半期の世界各地のインターネット ホスト 1,000 台あたりのマルウェア配布サイトの割合
左の表: 2011 年 第 1 四半期 (1Q11) と 2011 年第 2 四半期 (2Q11) の全 URL に対するドライブバイ ダウンロード ページの割合が最も高い地域と世界平均。右の表: 2011 年 第 1 四半期 (1Q11) と 2011 年第 2 四半期 (2Q11) のインターネット ホスト 1,000 台あたりのマルウェア配布サイトの地域ごとの割合と世界平均
この 2 部構成のブログの次の記事では、ドライブバイ ダウンロード攻撃からシステムを守る方法について、いくつかのガイダンスを紹介します。
Trustworthy Computing (信頼できるコンピューティング) 部門
ディレクター
Tim Rains (ティム・レインズ)