アドネットワークを利用するマルウェアの出現──対策の切り札とは？：Web感染型マルウェア対策【第5回】

沈静したかのように思えるWeb感染型マルウェアは、今も順調にWebサイトを改ざんしながら感染を拡大させている。自社サイトがマルウェア配信サイトにならないために、今再考すべきリスク、対策とは？

≫ 2010年12月24日 08時00分公開

[谷崎朋子]

2010年後半のWeb感染型マルウェア動向

　2010年10月25日、オランダ国家犯罪対策局ハイテク犯罪チームがGumblar攻撃でも利用されたトロイの木馬「Bredolab」ボットネット解体に成功したと発表した。143のSMTPサーバが停止され、36億通ものスパムメールを配信し続けたネットワークは実質無効化された。犯罪グループの関係者と思われる人物も逮捕されている。だが、ボットネット解体の突破口を見つけたと歓喜したのもつかの間、翌日には別のBredolabが活動開始したと報告があった。Bredolabボットネットは複数のボットネットで構成されており、それぞれのマスターサーバの下、連携して活動する。結局、突き崩したのは氷山の一角でしかなかったと、あらためて痛感させられるニュースとなった。

　Web感染型マルウェアは、生命のごとく多様性をもって進化している。「最近は情報を盗み出すツールや、スパム配信ツールだけでなく、偽アンチウイルスツールや偽セキュリティツールといった“人をだます”ソフトを埋め込む傾向もある」。NRIセキュアテクノロジーズのセキュリティコンサルタント、木内雄章氏はそう指摘する。

NRIセキュアテクノロジーズセキュリティコンサルタント木内雄章氏

　2010年10月に登場した偽セキュリティ診断ツール「WinHDD」も、そうした“だましの手口“を使うマルウェアだ。メールやWebサイトを表示するだけで自動実行するWinHDDは、HDD診断を促してデフラグを実行したように見せかける。その後、問題があるので深い調査ができる有料ソフトを購入するよう勧めてくる。ベリサインのアイコンや認証画面を表示することでユーザーを安心させ、カード情報など個人情報を入力させる。

　このような、ある意味洗練されたマルウェアを作るには、それなりの技術力と時間を要する。「重要インフラを攻撃の目標とし、産業用システムに侵入してプログラムを改ざんして話題になったStuxnetは、一定の技術を持った数名の技術者が集まっても作成に数万時間かかるのではと推測されている」（木内氏）。それだけの人材や開発環境をそろえられるのは、犯罪組織が裏に控えているからだ。

意外と管理できていないWebページのリスク

　2010年10月、新たな手口が話題になった。それは、広告アドなどのWebパーツを改ざんするというものだ。

　2010年9月、広告アド配信サービス「MicroAd」を利用するWebサイトでウイルス感染被害が多発した。同サービス提供元のマイクロアドによると、同社の広告配信サーバのプログラムが改ざんされ、悪意あるサイトへ誘導するURLが広告配信用タグに差し込まれたとのこと。アクセス先にはセキュリティソフトを装ったマルウェア「Security Tool」が設置されていた。誤ってダウンロードしてしまうと、本来のトロイの木馬としての活動を開始し、しかもなかなか排除できない。

　「複数のWebサービスを組み合わせるマッシュアップが増えている今、その盲点を突いた攻撃といえる。自社サイトのコンテンツだけを気にしていればよいという考えが通用しなくなった」。マッシュアップサイトでは、他社コンテンツの感染が原因で自社が風評被害に遭う可能性が高くなったと、木内氏は危険視する。実際、MicroAd事件では感染するから閲覧するなとTwitterでマッシュアップサイト名が流れる騒ぎとなった。

　自社サイトが攻撃に荷担していないことを監視、管理する方法は、サイト内のリンク先URLをすべてリスト化し、怪しいURLにリンクが改ざんされていないか、不正な変更がされていないかを定常監視することだ。怪しいURLへのリンク改ざんに対する監視・検知は「Gumblar対策サービス」などで提供されており、不正な変更に関しても「改ざん検知サービス」がある。

　しかし、注意すべきはこれらの定常監視サービスやソリューションでは、監視対象のURLを明確にする必要がある点だ。自社サイトの構成と管轄をひも付けて可視化し、一元管理できていれば問題ない。　しかし実際は、製品キャンペーンや新入社員採用など、情報を随時更新したり、資料送付先として個人情報の収集を短期間で行うWebページの作成は、社内のクリエイターだけでは回らずに外部委託するケースが多い。「情報発信の部署は人事や広報などバラバラで、しかもそのページを作成している外部委託先もバラバラ。企業規模が大きくなるほどに、Webサイト管理はカオス化する」（木内氏）

　コンプライアンス対応やセキュリティ対策の一環としても、すべて把握して一元管理できることが望ましい。定点監視して、何かあったとき迅速に対処できるようにする。そのためにも、自社サイトの構成と管理部書をすべてリスト化しておくことは、基本中の基本かもしれない。

　NRIセキュアテクノロジーズでは、独自調査とヒアリングによりユーザー企業のWebサイトを整理し、簡易的な一覧化を支援している。利用した顧客からは、自社サイトがこんな構成になっていたとは知らなかったと驚かれることが多かったという。「見えなかったものが見えたと評価してもらえた。URLのリストアップは手作業が多いので、それを委託できることもメリットの1つ。一度整理すれば長期間セキュリティ対策に利用できる」（木内氏）。基本を“見える化”しておけば、マッシュアップされたWebページも発掘でき、対策も打てる。

　現状の全体感を大枠で把握しておけば、どこに潜在的なリスクがあり、どこにどれくらいの投資が必要なのかが明確になる。見えてきた潜在リスクに対処すれば、セキュリティレベルを底上げできる。同社では、自社関連サイトの全体感を把握する一元化支援のほか、「Tripwire変更管理・改ざん検知サービス」や「Web感染型マルウェア検知サービス」など、底上げのための各種セキュリティソリューションも用意している。

基本に立ち戻ることが最善の防御策

　セキュリティ対策は、バランス感が難しいと木内氏は言う。「昨今の攻撃対象は端末からサーバまで幅広い。そのため、多層的な対策が必要なのだが、少しでも管理や統制が欠けると、その穴を狙って攻撃されてしまう」。各要所で必要十分な対策を取りながら、全体のセキュリティレベルを高めていく。それには、自社が何を管理しているかといった基本をきっちり押さえておくことが重要だ。

　2011年もWeb感染型マルウェアとの戦いは続くだろう。だが、自社サイトの構成要素を丁寧に洗い出し、バランスを見ながらセキュリティ対策を施すシンプルなアプローチだけで、リスクは十分軽減できる。年末は自宅の大掃除ですっきりしたという方。ぜひ年明けは自社サイトの大掃除と整理ですっきりするのはいかがだろうか。