Webマルウェア動向、攻撃側と防御側の「軍拡競争」が続く――Google報告書

不正なWebページを使ってマルウェア感染を広げようとする攻撃側と、それを見つけ出して食い止めようとする側との「軍拡競争」が続いている。

» 2011年08月19日 07時50分 公開
[鈴木聖子,ITmedia]

 不正なWebページをユーザーに閲覧させてマルウェア感染を広げようとする攻撃側と、それを見つけ出して食い止めようとする側との“いたちごっこ”が続く現状が、米GoogleがまとめたWebマルウェア検出動向に関する報告書で浮き彫りになった。

 報告書では、マルウェアに感染させるWebページについて警告を出すGoogleの「Safe Browsing」機能を通じて蓄積した4年分のデータを分析。800万あまりのWebサイトでホスティングされていた約1億6000万ページについて、マルウェア作者が検出を逃れるために使っている手口について調べた。

 その結果、Webブラウザやプラグインの脆弱性を突いてマルウェアに感染させる「ドライブバイ」攻撃が横行している実態が判明。攻撃側は検出を免れるため、利用する脆弱性を次々に切り替えていることが分かった。一部の例外を除いてほとんどの脆弱性は短期間のみ利用され、新たな脆弱性が浮上するとすぐそちらに移行しているという。

 一方、ユーザーをだましてマルウェアをインストールさせるソーシャルエンジニアリングの手口は増加を続けているにもかかわらず、マルウェア配布サイトに占めるソーシャルエンジニアリング攻撃サイトの割合は2%にとどまった。

 Googleやセキュリティ業界がこうした不正なWebページを検出するための技術開発に力を入れているのに対し、検出を免れるための「クローキング」技術を採用するWebページも増えている。これは検出システムに対しては無害なコンテンツを表示し、一般ユーザーには悪質なコンテンツを表示する手口。Googleではこの手口をかわすため、さまざまな方法で一般ユーザーのトラフィックに見せかけてWebページをスキャンしているという。

 Googleはこうした実態を「マルウェア配布側との軍拡競争」と表現し、「Googleはインターネットユーザーを守るために最先端のマルウェア検出技術を実装し、Safe Browsingインフラをアップデートしてきた」と強調している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ