Webマルウェア動向、攻撃側と防御側の「軍拡競争」が続く――Google報告書
不正なWebページを使ってマルウェア感染を広げようとする攻撃側と、それを見つけ出して食い止めようとする側との「軍拡競争」が続いている。
不正なWebページをユーザーに閲覧させてマルウェア感染を広げようとする攻撃側と、それを見つけ出して食い止めようとする側との“いたちごっこ”が続く現状が、米GoogleがまとめたWebマルウェア検出動向に関する報告書で浮き彫りになった。
報告書では、マルウェアに感染させるWebページについて警告を出すGoogleの「Safe Browsing」機能を通じて蓄積した4年分のデータを分析。800万あまりのWebサイトでホスティングされていた約1億6000万ページについて、マルウェア作者が検出を逃れるために使っている手口について調べた。
その結果、Webブラウザやプラグインの脆弱性を突いてマルウェアに感染させる「ドライブバイ」攻撃が横行している実態が判明。攻撃側は検出を免れるため、利用する脆弱性を次々に切り替えていることが分かった。一部の例外を除いてほとんどの脆弱性は短期間のみ利用され、新たな脆弱性が浮上するとすぐそちらに移行しているという。
一方、ユーザーをだましてマルウェアをインストールさせるソーシャルエンジニアリングの手口は増加を続けているにもかかわらず、マルウェア配布サイトに占めるソーシャルエンジニアリング攻撃サイトの割合は2%にとどまった。
Googleやセキュリティ業界がこうした不正なWebページを検出するための技術開発に力を入れているのに対し、検出を免れるための「クローキング」技術を採用するWebページも増えている。これは検出システムに対しては無害なコンテンツを表示し、一般ユーザーには悪質なコンテンツを表示する手口。Googleではこの手口をかわすため、さまざまな方法で一般ユーザーのトラフィックに見せかけてWebページをスキャンしているという。
Googleはこうした実態を「マルウェア配布側との軍拡競争」と表現し、「Googleはインターネットユーザーを守るために最先端のマルウェア検出技術を実装し、Safe Browsingインフラをアップデートしてきた」と強調している。
関連記事
- 主要Webブラウザのマルウェア対策の性能は? 米企業が評価
NSS Labsが2011年第3四半期版の報告書を発表。今回は初めて、アジア太平洋のユーザーを標的としたソーシャルエンジニアリング攻撃に対する防御機能についても検証した。 - ソフトの更新を確認すべし Webサイト閲覧によるマルウェア感染が拡大
JPCERT/CCは、OSやソフトのアップデート状況を早急に確認して、適用するようユーザーに呼び掛けている。 - Webサイトでマルウェアに感染するリスクが深刻化 Symantec報告書
マルウェア感染などを理由にアクセスを遮断されるWebサイトが増加している。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.