マルウェア攻撃者の“待ち伏せ場所”4割が検索サイト、最近は画像検索が危険


米Blue Coat SystemsのシニアマルウェアリサーチャーであるChris Larsen氏

 ブルーコートシステムズ合同会社は9日、マルウェア配信ネットワーク(Malware Delivery Network:MDN)の仕組みや動向を解説した「2011年上半期版Webセキュリティレポート」を発表した。

 このレポートは、同社のクラウド型セキュリティサービス「Blue Coat WebPulse」からのデータと同社セキュリティラボの情報に基づいてとりまとめたもの。WebPulseでは、世界7500万人以上のユーザーから寄せられるウェブの情報を分析・評価・共有しており、平日1日平均で2500万~3000万の未分類ページの情報が寄せられている。このうち日本語ページも5.5%(90万件程度)占めており、英語、ドイツ語、フランス語に次ぐ規模の言語となっている。

 レポートによると、MDNは、マルウェアを直接ホスティングしているサイトだけで構成されるといった単純なものではなく、通常は企業などでも利用が許可されるような分野の合法サイトにも潜んでいる。信頼されたサイトが、検索エンジンポイズニングや広告ネットワークの悪用により、誘導の起点となるエントリーポイントとして機能しているためだ。

 その先はリレーサーバーやエクスプロイトサーバーなど複数のホストを経由して、マルウェアのペイロードサーバーへと誘導される。なお、これらのホストは“ジャンクドメイン”によって頻繁に変更され、動的なネットワークになっているという。

 9日、報道関係者向けのビデオ会議で、米Blue Coat SystemsのシニアマルウェアリサーチャーであるChris Larsen氏は、マルウェア攻撃者をライオン、インターネットユーザーをシマウマにたとえて、マルウェア攻撃者の狙いを説明した。Larsen氏によると、ライオンはなまけ者であり、シマウマを追いかけ回すことなく獲物をとらえたい。そこで水場の近くの茂みで待ち伏せするという。すなわち、マルウェア攻撃者は、インターネットユーザーがエサを求めて集まって来そうなサイトで待ち伏せし、MDNのエントリーポイントとして悪用するわけだ。

 エントリーポイントは現在、トラフィックの大きいサイトなどが悪用されるようになっているという。具体的には、攻撃者に侵入を受けた一般サイトのほか、ポルノサイト、SNS、検索サイトなどであり、このほかにもメールなどもエントリーポイントになる。

 レポートによれば、2011年上半期にエントリーポイントとして最も多用されたのは、検索エンジン/ポータルで、39.20%を占めた。例えば、ポルノコンテンツや海賊版コンテンツなどを“ルアー(疑似エサ、わな)”にして、そうしたコンテンツを検索しているユーザーをMDNへと引き寄せるわけだ。Larsen氏によると、このような検索エンジンポイズニングは、ここ2~3年はテキスト検索に対して行われていたが、最近では画像検索の危険性が増してきていることが判明したという。

 このほかのエントリーポイントとしては、メールが6.90%、ポルノが6.70%、ソーシャルネットワークが5.16%。なお、ヘッダーにリファラーが含まれておらず、起点を特定できなかったものの10.53%あった。


MDNへのエントリーポイントとなっている上位5カテゴリーの比率の推移

最大規模のMDN「Shnakule」、多い時は4000ホストで構成

 5月末時点でBlue Coat Systemsが監視対象としていたMDNは395あり、1日あたり平均30~40のMDNが稼働していたという。このうち最も規模が大きいのは、同社が「Shnakule」と呼ぶネットワークだ。Shnakuleでは、ドライブ・バイ・ダウンロード攻撃、偽ウイルス対策ソフトや偽コーデックの配布、FirefoxやFlashの偽アップデート、偽warezなどの配信を行っている。

 Shnakuleを構成するホストは最小時で560ホスト、最大時で4357ホストにも上った。平均で2001ホストで構成されており、ドメイン数では100~200件で、さらにサブドメインも運用。サーバー数としては50~100件という。

上位10のMDNにおける固有ホスト数の推移

 レポートでは、Shnakuleはじめ、規模の大きい上位10のMDNについて、ホスト数やその推移グラフ、活動内容をまとめている。これには、偽ウイルス対策ソフトの「Ishabor」、ギャンブル関連マルウェアなどによって活動を開始する「Kulerib」、疑わしいリンクファーミングの「Rabricote」、偽ウイルス対策ソフトなどによって活動を開始する「Albircpana」といったものが含まれ、一部は短命なMDNもある。最近では、これらが実はShnakuleの一部だったこともわかってきたという。

 なお、MDNの名称は、各地の神話に登場する邪神の名称をベースに、アルファベットを付加して「いかにも悪者っぽい名前」を造語しているとした。

 Blue Coat Systemsでは、ShnakuleのMDNを構成するサイト群を視覚化。GoogleやFacebook、Hotmailなどの大手サイトや、本来はマルウェアと無関係でほとんど無害だというな数多くのリンクサイトから、実際の脅威となるサイトへと誘導されていく流れを図に描き出している。ただし、リンクサイトの中には多くの経路が集中するサイトも一部存在しており、こうしたサイトの監視・分析も必要だとしている。

ShnakuleのMDNを構成するサイトを視覚化した図。赤が脅威サイト、黄がリンクサイト、緑が検索サイト/ウェブメールサイトなど

 Larsen氏はMDNの攻撃から身を守る方法のたとえとして、「大きなシマウマの群れに属することで、ライオンに捕食される危険性が低下する」と説明。WebPulseは7500万人以上のユーザーが参加してウェブを観測している「最大のシマウマの群れ」であるとともに、ライオン(MDN)を自動的に追跡してブロックできると述べ、自社セキュリティサービスの有用性もアピールした。


関連情報


(永沢 茂)

2011/8/10 06:00