キヤノンMJ/サイバーセキュリティ情報局
ウェブサイト閲覧で勝手にマルウェアをダウンロードする「ドライブバイダウンロード攻撃」への対策
本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「ドライブバイダウンロード攻撃が招くセキュリティリスクとは?」を再編集したものです。
ドライブバイダウンロード攻撃とは、ウェブサイトを閲覧した際、勝手にマルウェアをダウンロードさせる攻撃手法である。ユーザーが気づかぬ間にマルウェアに感染し、感染拡大に至るため、過去に幾度も大流行している。この記事では、ドライブバイダウンロード攻撃の仕組みや過去の事例、対策方法を解説する。
ドライブバイダウンロード攻撃とは
ドライブバイダウンロード攻撃は、攻撃者が気付かれぬよう、ユーザーの端末にマルウェアのダウンロードとインストールを試みる攻撃のことだ。例えば、ユーザーがウェブサイトを訪問した際に自動的にマルウェアがダウンロード、インストールされてしまう。
ドライブバイダウンロード攻撃は、ユーザーが利用する端末のOSやウェブブラウザー、アプリケーションなどの脆弱性を突いて行なわれるため、適切な対策を講じていない場合、ユーザーが注意していたとしても被害につながりやすい。過去には多くのウェブブラウザーに組み込まれていた、Adobe Flash PlayerやMicrosoft Silverlightなどのプラグインの脆弱性を狙う攻撃が発生していた。
近年こそ、爆発的な感染拡大はないものの、これまでにも世界各地で感染が広がった事例は数え切れないほどある。今後もドライブバイダウンロード攻撃が応用される可能性も十分に考えられるため、攻撃の主要な手法や代表的な被害事例を理解し、基本的な対策を徹底しておきたい。
ドライブバイダウンロード攻撃の主な手口
ドライブバイダウンロード攻撃は、多くのユーザーがアクセスする著名なサイトを改ざんすることで、被害に誘導するケースが少なくない。以下、その代表的な攻撃手順を解説していく。
1) 攻撃対象となるウェブサイトの調査
さまざまなツールや自動スキャンソフトなどを使って、脆弱性を抱えたウェブサイトを調査する。ウェブサイトの脆弱性を突く攻撃としては、XSS(クロスサイト・スクリプティング)やCSRF(クロスサイト・リクエスト・フォージェリ)、SQLインジェクションなどがある。こうした攻撃が可能な、脆弱性を抱えるウェブサイトを見付けることが、攻撃の起点となる。また、あらかじめ攻撃対象となるウェブサイトを絞り、対象サイトのFTPアカウント情報を不正に取得しようとするケースもある。
2) ウェブサイト改ざんによる不正プログラムの設置
ウェブサイトの脆弱性を見つけ出すと、その脆弱性を突き、XSSやCSRFなどの攻撃でウェブサイトの改ざんを試みる。または、不正に取得したFTPのアカウント情報を利用して、ウェブサイトのデータを直接書き換える場合もある。こうして不正なプログラム、あるいは攻撃に用いるウェブページを設置する。不正なプログラムが仕込まれた、別のウェブサイトへ誘導するようにウェブサイトを改ざんするケースもある。
3) ユーザーのアクセス時に攻撃実行
改ざんされたウェブサイトにユーザーがアクセスすると、そこに仕込まれた不正なプログラムが実行される。その際、ユーザー端末のOSやウェブブラウザーにそのプログラムが狙っている脆弱性が存在する場合、マルウェアが自動的にダウンロードされてしまう。
その後、ダウンロードされたファイルの実行を要求し、その要求にユーザーが応じてしまうとインストールが行なわれる。このとき、何かしらのソフトウェアやアプリケーションなどのアップデートに見せかけて、インストールを要求するケースが多い。
ドライブバイダウンロード攻撃の対象となるのはパソコンだけではない。AndroidやiOSを搭載したスマホも攻撃対象となり得る。実際に、過去にはAndroid端末への被害事例も生じている。
代表的なドライブバイダウンロード攻撃の事例
ドライブバイダウンロード攻撃は、従来から行なわれてきた。以下、代表的な事例を紹介する。
・ガンブラー攻撃
ドライブバイダウンロード攻撃の元祖とも言われるのが、2009年末から2010年にかけて世界中で流行したガンブラー攻撃である。ガンブラー攻撃では、まず、攻撃者がウェブサーバーのFTPアカウントを不正に取得し、ウェブサイトを改ざんした。その改ざんされたウェブサイトにアクセスしたユーザーは、別途設置された悪意のあるウェブサイトに誘導され、ウェブブラウザーなどの脆弱性を突いた攻撃が行なわれる。脆弱性が存在していた場合、そこからマルウェアに感染してしまうという流れだ。
・Android端末への攻撃
2014年、欧州の某国の新聞社が運営するウェブサイトに対しAndroid端末でアクセスした際、自動的にマルウェアがダウンロードされてしまうドライブバイダウンロード攻撃が発生した。ダウンロードが終わると、ポップアップウィンドウが開き、正規を装った「アプリマネージャーをアップデートするように」というメッセージが表示される。このメッセージに対して、「はい」をクリックすると、ダウンロードしたマルウェアがインストールされてしまう。
・RIGエクスプロイトキットを使った攻撃
2016年後半から2017年にかけて、RIGエクスプロイトキットを用いたドライブバイダウンロード攻撃が流行した。エクスプロイトキットとは、攻撃者がパソコンの脆弱性を利用する際に用いるクラッキングツールであり、RIGエクスプロイトキットにはランサムウェアやインターネットバンキングマルウェアなどが含まれている。特に、不正な広告バナーからRIGエクスプロイトキットのマルウェアが仕込まれた悪意のあるウェブサイトへ誘導される事例が多発した。
トロイの木馬との複合的な攻撃も
マルウェアの種類のひとつとして、トロイの木馬と呼ばれるものがある。トロイの木馬は、古くから存在するマルウェアであり、ウイルスやワームとは異なって自己複製機能を持たないことが特徴だ。無害なプログラムと装って端末に侵入し、バックドアを経由してほかのマルウェアのダウンロードなどを行なう。
ドライブバイダウンロード攻撃は、ユーザーが気付かないうちにマルウェア感染を狙う攻撃であるため、一定期間の潜伏を経た後、密かに動作するトロイの木馬と非常に相性が良いのだ。再び猛威を振るいはじめた「Emotet」も、トロイの木馬の進化系とみなすことができる。今後も、新たな攻撃において、標的型攻撃メールだけでなく、ドライブバイダウンロード攻撃が起点となる可能性もある。
新種「Emotet」の登場など、今なお続くトロイの木馬の危険性
https://eset-info.canon-its.jp/malware_info/special/detail/201001.html
ドライブバイダウンロード攻撃への対策
ここまで説明してきたように、ドライブバイダウンロード攻撃は大きな脅威のひとつである。ドライブバイダウンロード攻撃を防ぐには、ウェブサイトの運営側とユーザー側双方に対策が求められる。
1) ウェブサイト運営側の主な対策
ドライブバイダウンロード攻撃を防ぐために、まず重要なのはウェブサイトへの不正アクセス、改ざんを防ぐことだ。ウェブサイト運営側の対策としては、主に以下の4つが挙げられる。
・ウェブサイトの脆弱性を解消
Adobe Flash Player、Microsoft Silverlightのサポート終了によって、それらに起因する脆弱性のリスクは大きく軽減した。しかし、先述したように、XSSやCSRF、SQLインジェクションなどの脆弱性が残されているウェブサイトも少なくない。最低限、既知の脆弱性を解消するだけでも、関連するリスクを低減できる。
・ウェブ改ざん検知サービスを利用
ウェブサイトのサーバーを自社で運用するのではなく、ホスティングサービスを利用する場合も多いだろう。その場合、そのホスティング会社が提供するウェブ改ざん検知サービスを利用することで、ウェブ改ざんが行なわれた場合には通知されるため、迅速な対処が可能となる。
・WAFの導入
ウェブアプリケーションの脆弱性を突いた攻撃に対処するWAF(Web Application Firewall)を導入することで、不正なプログラムが仕込まれる際のアクセスを検知、遮断することが可能になる。
・FTPやCMSなどの認証を強固に設定
ウェブサイトの更新に利用するFTPやCMS(Content Management System)の認証を強固にすることで、不正な侵入を防ぐことができる。例えば、WordPressをはじめ、最近のCMSでは二段階認証を利用できるものも増えてきている。
また、基本的な対策として、ウェブサイトを運営する関係者のパソコンには必ずセキュリティソフトを導入しておくことも大切だ。加えて、OSやアプリケーションも常に最新の状態にアップデートしておくことで、運営関係者の端末を経由したウェブサイトへの不正アクセス、改ざんを抑制できる。
2) ユーザー側の主な対策
アクセスするウェブサイトが改ざんされ、不正なプログラムが仕込まれていなければ、原則としてドライブバイダウンロード攻撃のリスクは生じないはずだ。しかし、実際問題として、攻撃者は手を替え品を替え、マルウェアのダウンロード、インストールを狙っている。そうした前提に立ち、ユーザーとしても適切な対策が求められる。
・セキュリティソフトの導入
セキュリティソフトは、攻撃者が次々と開発するマルウェアの情報を収集し、定義ファイルをアップデートしてユーザーに提供している。既知のマルウェアについては高い確率で検出できるため、マルウェアの感染リスクは低減される。
また、未知のマルウェアにおいても、さまざまな検出アルゴリズムにより、検知を行なえるセキュリティソフトもある。例えば、個人ユーザー向けセキュリティソフト「ESET インターネット セキュリティ」には、クラウドベース保護「ESET LiveGrid」をはじめ、さまざまなマルウェアを検知するための機能が搭載されている。巧妙化する攻撃手法に対して、多層的に防御することで、マルウェアの感染からユーザーを保護するのだ。
・OSやアプリケーションを最新の状態に維持
先述したように、ドライブバイダウンロード攻撃は、OSやウェブブラウザーなどソフトウェアの脆弱性を突く攻撃だ。すなわち、OSやアプリケーションの脆弱性が解消されていれば、攻撃を受けるリスクは大きく下がることになる。OSやウェブブラウザーなどに重大な脆弱性が発見されると、その脆弱性を解消するためのアップデートやパッチが提供される。そうしたアップデートを常に適用し、OSやアプリケーションを最新の状態に維持することで、既知の脆弱性を突く攻撃から端末を保護することができる。
ユーザー側も二段構えのセキュリティ対策が求められる
ユーザー側がどれだけ十分に注意してウェブブラウジングをしていたとしても、正規のウェブサイトが改ざんされてしまえば、マルウェアのダウンロードを防ぐのは困難を極める。巧妙な手口を用いるドライブバイダウンロード攻撃は、その攻撃の糸口をユーザーが判断するのは難しいというのが実情だ。
そのような場合であっても、セキュリティソフトを導入しておくことで、少なくとも既知のマルウェアのインストールは防げるはずだ。ユーザーとしても、いざという時のための備えとして、自らの注意を怠らないことに加えて、セキュリティソフトの導入についても検討するようにしてほしい。