本記事は、Microsoft Security のブログ“What You Should Know About Drive-By Download Attacks – Part 2” (2011年12月13日公開) を翻訳した記事です。
この 2 部構成のブログのその 1では、ドライブバイ ダウンロード攻撃の仕組みについて解説しました。こうした攻撃は、複数のリダイレクト レベルを使用して攻撃コンポーネントを世界各地の侵害されたシステムでホスティングするため、複雑になりがちです。攻撃はさらに進化していますが、こうした攻撃からシステムを守るための対策は数多くあります。今回は、ドライブバイ ダウンロード攻撃からシステムを守るための対策をいくつかご紹介します。
攻撃者は、さまざまなオペレーティングシステム、Web ブラウザー、さまざまなソフトウェアベンダーのアドオンにおける脆弱性をターゲットにしていますが、プラットフォームを電子メールの送受信やインスタント メッセージの送受信に使用している場合、またはインターネットの閲覧に使用している場合は、自己防衛のための予防策を取ることが重要です ドライブバイ ダウンロード攻撃からシステムを守る方法としては、以下のような予防策が考えられます。
- すべてのソフトウェアを最新の状態に保つ:最新のサービス パックやセキュリティ更新プログラムを適用し、システムにインストールされているすべてのソフトウェアを最新の状態に保ちます。この方法は、依然としてシステムをエクスプロイトから守るために最も効果的です。更新対象としては、オペレーティングシステム、Web ブラウザー、生産性向総合ソフトウェア パッケージ、すべてのアプリケーション、メーカーがあらかじめインストールしたソフトウェアなどがあります。システムにインストールされているすべてのソフトウェアは、使用しているかどうかにかかわらず、常に最新の状態に保つ必要があります。
- 攻撃経路を最小限に抑える:使用していない、または不要なソフトウェアやアドオンをアンインストールします。これにより、攻撃経路が減り、システム上で最新の状態に保つ必要があるソフトウェアの数が少なくなります。アンインストールできない不要なソフトウェアは無効にします。
- 新しいソフトウェアを導入する:データによると (英語情報)、攻撃の成功率が上がるのは、古いプラットフォーム、Web ブラウザー、ドキュメント パーサーがターゲットになっている場合と考えられます。可能であれば、最新バージョンのオペレーティングシステム、ブラウザー、ドキュメント パーサーなどを使用するようにしてください。たとえば、Windows の各サポート バージョンにおけるマルウェア感染率を示した以下のグラフを見ると、Microsoft 悪意のあるソフトウェアの削除ツールによるスキャンで感染が見つかった Windows XP Service Pack 3 システムは 1,000 台あたり 10.9 台ですが、Windows 7 Service Pack 1 システム (32 ビット) では 1.8 台になっています。
図: 2011 年第 2 四半期の CCM (1,000 回ごとに駆除されたコンピューター数) によるオペレーティング システムおよびサービス パック別の感染率
- 慎重に閲覧する:ユーザーとして接続する Web サイトを慎重に選び、企業資産が接続する可能性のあるサイトを制限します。管理者としてシステムにログオンしている間は、インターネットを閲覧しないようにします。閲覧する場合は、標準ユーザー アカウントのような権限が制限されたアカウントを使います。環境内にサーバーがある場合は、そのシステムを使用してインターネットを閲覧しないようにします。こうすることで、サーバーが保存や処理に通常使っているディレクトリやデータを保護できます。
- オンラインでやり取りする際は慎重に行動する:軽率に電子メールを開いたり、インスタント メッセージでやり取りしたり、URL をクリックしたりせず、慎重に行動します。
- マルウェア対策ソフトウェアを使用する:信頼できるベンダーがリリースしたマルウェア対策ソフトウェアを実行し、最新の状態に保ちます。
- Web ブラウザーと検索保護を使用する:最新の Web ブラウザーや検索エンジンに組み込まれている保護技術を利用します。たとえば、Internet Explorer に組み込まれている SmartScreenフィルターは、悪意のあるサイトへのアクセスやダウンロードをブロックすることで、マルウェアを配布する既知のサイトからシステムを保護します。マルウェア対策ソフトウェアを使用すると、有害なソフトウェアのダウンロードを防ぐことができます。Internet Explorer 8 では、サイト単位の ActiveX コントロールを追加することで、ActiveX プラグインを特定の単一ドメインに制限できます。Internet Explorer 9 では、ActiveX フィルターを導入することで ActiveX コントロールを使用できるサイトの管理を強化しています。ActiveX フィルターを有効にすると、ユーザーに信頼されたサイトしか ActiveX コントロールを実行できなくなります。この機能により、ActiveX コンポーネントの実行を信頼されたサイトに限定できるので、攻撃経路が減ります。ユーザーは、アドレス バーのアイコンによって、特定のサイトでの ActiveX コントロールの実行を許可できます。IT 管理者も、グループ ポリシーを通じて ActiveX フィルターを有効にすることで、ユーザーがインターネット ゾーンから ActiveX コントロールをダウンロードしないように制限できます。
左図: Internet Explorer 8 および 9 の SmartScreen フィルターはユーザーを保護するために既知のフィッシング サイトとマルウェア配布サイトをブロック。右図: Internet Explorer 8 の SmartScreen フィルターはユーザーが安全ではないファイルをダウンロードしようとすると警告を表示。下図: Explorer 9 はユーザーが安全ではないファイルをダウンロードしようとすると警告を表示。
Bing が Web のインデックスを作成する際、ページに悪質なエレメントがないか、ページが悪意のある行動をしないか評価します。多くの場合、侵害されたサイトのオーナーも被害者なので、サイトは Bing インデックスから削除されません。その代わり、検索結果リストにあるリンクをクリックすると、ページに悪質なソフトウェアが含まれている可能性があることを通知する警告がわかりやすく表示されます。Bing は、毎月膨大な数のドライブバイ ダウンロード ページを検出し、アクティブなドライブバイ ページをホスティングしている数十万のサイトを常に追跡しています。詳しくは、このブログのその 1やマイクロソフト セキュリティ インテリジェンス レポートで解説しています。
図: Bing からのドライブバイ ダウンロードの警告
業界の多くのベンダーは、こうした攻撃からユーザーを守るために努力を重ねています。たとえば、Trustworthy Computing (信頼できるコンピューティング) 部門が今年に入って公開した セキュリティ関連の緩和策に関する調査の主な見解によると、調査対象となった主要 Web ブラウザー クライアント (Internet Explorer、Firefox、Safari など) は、Address Space Layout Randomization (ASLR) とデータ実行防止 (DEP) を完全にサポートしています。これらの緩和策により、攻撃者は Web ブラウザーの脆弱性を利用することが困難になります。すばらしい成果と言えるでしょう。しかし、調査対象のブラウザー プラグインの 70% では ASLR が有効になっていませんでした。つまり、ASLR は既定のブラウザー インストールでは有効になっていますが、ブラウザー プラグインを導入することで ASLR の効果が低くなる可能性があるということです。
開発者や IT プロフェッショナル向けの追加ガイダンス:
- ベンダーは、DEP、ASLR、SEHOP、/GS などのエクスプロイト緩和技術を既定で有効にした状態でソフトウェアを構築する必要があります。構築方法の詳細については、http://msdn.microsoft.com/ja-jp/library/bb430720.aspxを参照してください。
- マイクロソフトが開発した無料の BinScope ツールを使用して、DEP、ASLR、SEHOP、/GS が有効になった状態でソフトウェアが構築されていることを確認します。このツールは www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=90e6181c-5905-4799-826a-772eafd4440aでダウンロードできます。
- Enhanced Mitigation Experience Toolkit (EMET) という別の無料ツールを使用して、攻撃にさらされるリスクのある重要なアプリケーションでエクスプロイト緩和技術を有効にします。EMET は、http://go.microsoft.com/fwlink/?LinkID=200220&clcid=0x409でダウンロードできます。
- これらの緩和技術については、ホワイトペーパー「ソフトウェア脆弱性の緩和」(英語情報) を参照してください。
攻撃者がドライブバイ ダウンロード攻撃を止める兆候は今のところありません。投資に対する見返りが得られる限り、攻撃者はこの手法を使い続けるでしょう。しかし、開発者、管理者、インターネット ユーザーには、システムを侵害から守るためにできることがあります。この 2 部構成のブログで紹介した情報が、この問題の理解を助け、自己防衛のための効果的な対策の実践に役立つことを願って止みません。
Trustworthy Computing (信頼できるコンピューティング) 部門
ディレクター
Tim Rains (ティム・レインズ)