ニュース
» 2006年09月06日 15時01分 公開

MS、Web上の不正コードを駆除する「BrowserShield」開発

BrowserShieldはWebページに隠された不正なコードをその場で阻止して削除するフレームワーク。ゼロデイ攻撃に対する対策になるかもしれない。

[Ryan Naraine,eWEEK]
eWEEK

 Microsoftの研究者が、Internet Explorer(IE)向けの自動コードザッパーを実験している。

 同社の研究者は、IEがユーザーに不正なページの代わりを見せるのではなく、Webページに隠された不正なコードをその場で阻止して削除できるようにする「BrowserShield」フレームワークのプロトタイプを完成させた。

 このBrowserShieldプロジェクトは、Microsoft Researchのシステム&ネットワーキング研究部門のプロジェクトリーダー、ヘレン・ワン氏の発案で、ネットワークワームを遮断するShieldイニシアチブの副産物だ。これはいつか、昨年12月の野火のように広がったWMF(Windows Metafile)攻撃のようなゼロデイのブラウザ攻撃に対するMicrosoftの答えになるかもしれない。

 「これはパッチが当てられていないブラウザにも、新しいセキュリティの層を提供できる」とワン氏はeWEEKの取材に応えて語った。「パッチが入手できない場合、BrowserShield対応ツールバーを使って不正なコンテンツを掲載しているページを『掃除』できる」

 BrowserShieldは、Webページに組み込まれたスクリプトを、ブラウザに表示される前に削除するためのツールだと同氏は説明している。これは、静的および動的なコンテンツの両方を検査し、クリーンにできる。動的なコンテンツは、最近のWeb上でのマルウェア攻撃で攻撃ベクトルとしてよく使われるようになっているとセキュリティ専門家は指摘している。

 このフレームワークはセーフティネットを提供するように効果的に機能し、多くのWebユーザーを自分自身から守るかもしれない。

 悪意を持ったハッカーは通常、Webサイトにスクリプトを埋め込み、ソーシャルエンジニアリングの手法を使って無防備なビジターにトロイの木馬やボット、スパイウェアなどの有害なマルウェアをダウンロードさせる。

 BrowserShieldにより、このような攻撃の多くは遮断されるとワン氏は主張する。この技術は、HTMLページを書き換えて、ブラウザ上で不正なコードが実行されるのを防ぐフレームワークとして利用できる。

 「基本的には不正なWebページの読み込みを阻止して、われわれのロジックを挿入し、そのページを変更してからブラウザでレンダリングされるようにする。Webページをエンドユーザーにとって安全なものとするため、実行時にわれわれの用意したコードの層を挿入する」(同氏)

 今回のプロトタイプがいつかMicrosoft製品に組み込まれた場合、IEの脆弱性を狙ったドライブバイ攻撃への対策にもなるかもしれない。IEは全世界のWebサーファーの約90%に利用されている。

 実際、テストの際にワン氏のチームは、企業のファイアウォールのところで、HTML書き直しのロジックをWebページに挿入することができた。BrowserShieldは、JavaScriptを使った多くのおなじみのWebサイトをユーザーに気付かれずに書き換えてレンダリングした。JavaScriptは、サーバが提供する任意のコードをクライアントコンピュータ上で実行するのに使えるスクリプト言語。

 「BrowserShieldはいろいろな形で反応してエクスプロイトを検出できた」とワン氏はプロトタイプのテストについて詳細に記した文書で述べている。「脆弱性ベースのフィルタリングはすべてのエクスプロイト(あるいは欠陥)を防止し、かつエクスプロイトのないページは妨害しないはずだ」

 Microsoftの研究グループは、2005年にリリースされた8件のIEパッチに対してBrowserShieldをテストし、同技術は――標準的なウイルス対策・HTTPフィルタリング製品を併用したときに――すべてのケースでソフトウェアパッチと同じ保護を提供したことが示されたと同氏は研究論文で述べている。

 BrowserShieldがなかった場合、ウイルス対策ソフトは8件のパッチのうち1件と同等の保護しか提供していなかっただろうと同氏は指摘する。

 これにより、Microsoftの研究者らは、BrowserShieldはパッチが提供されるまで、パッチの代わりあるいは少なくとも暫定策として役に立つかもしれないと考えている。

 アプリケーションではなく、いわゆるフレームワークであるBrowserShieldの設計は、ブラウザ以外にも、企業のファイアウォールレベル、あるいはサーバで導入できるかもしれないとワン氏は言う。

 機能が追加される可能性もある。ワン氏は、研究チームは、Ajaxアプリケーションのセキュリティを確保し、フィッシング詐欺などを遮断するためのアドオンをサポートするようプロトタイプを構築したとしている。

 BrowserShieldはMicrosoft Researchから生まれた多数のセキュリティ関連プロジェクトの1つ。

 同部門のサイバーセキュリティ&システム管理グループは、インターネットを巡回して不正なコードを載せているWebサイトを探す「Strider HoneyMonkey」プロジェクトで成功を見出している。

 同部門はまた、大規模なタイポスクワッターを探し出すツール「Strider URL Tracer」、ステルス型のマルウェアを探すrootkitスキャナー「Strider GhostBuster」、検索エンジンスパマーを特定する「Strider Search Defender」、スパイウェア管理ユーティリティ「Strider Gatekeeper」などにも取り組んできた。

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.

注目のテーマ