ITmedia NEWS > 科学・テクノロジー >
セキュリティ・ホットトピックス

Webサイトからのマルウェア感染を防ぐセキュリティシステム、韓国チームが開発 ゼロデイ攻撃にも対応Innovative Tech

» 2022年07月22日 08時00分 公開
[山下裕毅ITmedia]

Innovative Tech:

このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。

 韓国の極東大学校と南ソウル大学校の研究チームが開発した「Malicious script distribution pattern detection technique for image search websites」は、Webサイトを介して配布されるマルウェアを検知する新たなセキュリティシステムだ。

 従来の検知手法が悪意のあるコードの実行に着目しているのに対し、今回提案する検知手法はWebサイトの特性を考慮しながらユーザー側のスクリプトを分析することで、悪意のある配布パターンを特定する。

この手法の検出システム

 近年、WebサイトやWebブラウザの脆弱性を悪用した悪意あるコードの流通が増加している。その1つが、Webサイトから悪意のあるコードを注入し、被害者のPCを感染させる方法だ。幸い、最近のWebブラウザはWebサイトに隠された悪意あるコードを実行前に検出するためのセキュリティ対策を施している。

 既存の悪意あるコードの検知方法には、Webサイトのソースコードのどこに悪意あるコードが挿入されているかを特定するシグネチャベースの検知と、Webサイトにアクセスして閲覧者のPCファイルの改ざんや悪意のあるコードの実行などの状態変化を追跡して悪意のあるコードを検出するビヘイビアベースの検知の2つがある。

 シグネチャベースの検知は検知速度が速いがゼロデイ攻撃に有効でなく、ビヘイビアベースの検知はゼロデイ攻撃に有効だが検知速度が遅い。両者ともにWebの特性を考慮した方式ではない。

 そのためWebサイトへの攻撃を効果的に検知するためには、Webの特性を考慮した検知手法が求められている。研究では、悪意のあるスクリプトの配布パターンに基づき、配布サイトと中間サイトを検出する手法を提案する。

 既存の検知手法が悪意のあるコードの実行に着目しているのに対し、提案する配布パターン検知手法はクライアントスクリプトの解析からWebの特性を考慮して行われる。悪意のあるWebページのスクリプトの難読化を検知パターンとして確認するわけだ。

 まず、GoogleとMicrosoftが過去に特定した500の有害なWebサイトをクロールして、攻撃パターンを見つけるために必要なデータを収集する。そして、これらのWebサイトで悪意のあるコードを配布する際に最も一般的に使用されているアプローチを分析する。

 これらの悪質なコードで使用されているプログラミング技術やスクリプトに着目し、シェルスクリプトや実行ファイル(.exe)の実行、文字列の怪しい操作など、脆弱性を悪用するための方法を検討する。アルゴリズムには、重要度に応じた重みが加えられており、リスクスコアが60以上になった場合、検知されたと判断する。

 配信パターンに関する新たな解析により、常に悪意のある配信パターンを追加することで、ゼロデイ攻撃に対応できるように設計されている。検知システムの静的解析では、収集ツールであるクローラーを用いてチェック対象となるWebサイトを収集し、Webサイトのソースコードに悪意のあるスクリプトがないか、異常検知パターンを用いてチェックする。

 異常検知パターンは、マルウェアを拡散させるためのWebサイトのリンクと、PCの脆弱性を攻撃するための悪意のあるスクリプトの2種類の異常がないか、Webサイトのソースをチェックするものである。そのため、マルウェアが潜伏している場合は、できるだけ多くの事例を収集・分析し、検出パターンとして登録し、検出システムで検出することが重要である。

 評価実験の結果、このアプローチのパフォーマンスは、高い検出率に加え精度と速度の両方の点で卓越しており、スクリプトパターンに基づいて悪意のあるWebサイトを効果的に検出できると分かった。

 提案手法は、スクリプトパターンに基づいて悪意のあるWebサイトを効果的に検出できるため、アルゴリズムの複雑さやメモリへの負荷も低くなっている。

Source and Image Credits: Lee, Yong-joon, and Won-shik Na. “Malicious script distribution pattern detection technique for image search websites.” Journal of Electronic Imaging 31.3 (2022): 033046.



Copyright © ITmedia, Inc. All Rights Reserved.