研究論文を読んで思う

グーグルはマルウェアが分かっていないな

2007/05/22

 最近、Webベースのマルウェアに関するグーグルの研究論文を読んで胸が高鳴った。この論文を見ると、グーグルがこの問題に関して興味深いスタンスを取っていることが分かる。だが私には、同社の研究がそれほど役に立つ情報を伝えているようには思えない。

 もちろん、同社は好むと好まざるとに関わらず、この問題に巻き込まれる可能性が高く、対応を急ぐ必要がある。最近ある研究者が実証したように、Google Adwordsを悪用してマルウェアを広めるのは簡単だ。専門的な手法ではない。最近の別のAdwordsを悪用した攻撃は、米商事改善協会(BBB)の名声を利用しようとした。この攻撃のデモビデオはここで公開されている。

「数十億件のURL」をスキャン

 グーグルはすでにインターネット上のあらゆるものをスキャンしている。マルウェアを探さない理由はない。マルウェア対策コミュニティでは以前から、マルウェアの直接配信がSMTPストリームからWebサイトへと全般的に移行してきたことがよく知られている。電子メールも依然としてよく利用されているが、添付された不正な実行可能ファイルの代わりに、「ここをクリックすると株情報とわいせつな写真が見られます」といったメッセージを見かけるようになった。

 宣伝されているWebサイトに行くと、攻撃者がユーザーをだましてマルウェアを実行させる方法は何通りもある。彼らは「ここをクリックしてプログラムを実行してください」というだけかもしれない。コンテンツを見るために「コーデック」が必要だというかもしれない――悪質な偽のコーデックはたくさん出回っている。あるいは、Webブラウザの脆弱性を利用してプログラムを実行し、ユーザーに操作をさせることなくシステムに感染させる「ドライブバイダウンロード」を試みるかもしれない。何十もの手口があり、1分ごとに新たな手口が生まれている。グーグルの論文は、この背景をかなり調べている。

 グーグルはWebをスキャンして、ユーザーのシステムを攻撃しようとするページを探した。最初に「数十億件のURL」のスキャンにフィルタリングパスを使い、それから450万件に「掘り下げた分析」を行い、その結果ドライブバイダウンロードを実行する45万件のURLと、不正なサイトに見えるが確認できなかったURLを70万件発見した。

URL数は幻覚

 この論文はこれらの点、つまり見つかったURLの数を取り上げているが、これは幻覚のようなものだ。実際にユーザーを感染させているサイトのリストと重なる部分はあまりない。ほかの企業の調査はもっと有用な情報を示している。Exploit Prevention Labsは、自社ユーザーが見つけたWeb閲覧の問題に対処し、データを報告する「LinkScanner」という製品を手掛けている。同社は、4月に最も通報が多かったWeb攻撃トップ5を以下に報告している。

  1. 既知の不正なサイトへのリンク(全攻撃の27.42%):これ自体は攻撃ではないが、単純に既知の攻撃サイトにリンクしようとするもの。この種の既知のサイトは複数あり、実際に損害をもたらす可能性よりも、むしろ数の効果で1位になった。
  2. 改ざんされたMDAC(23.92%):MDACは、マイクロソフトが想定していない状況で特定のActiveXコントロールを使うクリエイティブな手法を指す。ActiveXコントロールはファイルをディスクに書き込んで実行できるWebスクリプトの中でインスタンス化される。
  3. ANI(11.9%):元は中国のハッカーが発見し、利用していた。Windowsのアニメーションカーソル(.ani)ファイルを悪用する。Internet Explorer 6あるいは7を走らせている、パッチ適用済みのWindows XP SP2に感染する。
  4. Q406ロールアップパッケージ(9.33%):Setslice、VML、XML、IE COM CreateObject Codeなど、最大12の攻撃コードを含み、たいていは厳重に暗号化されている。
  5. WebAttacker 2.0(9.1%):新しい最近の攻撃コードのプレパッケージで、以前のWebAttackerと似た配信方法を使う。ハッカーは、アンダーグラウンドマーケットでこのパッケージを買い、商用ソフトと同じように使うことができる。

マルウェア対策ビジネスの初心者

 グーグルが基準として発見したページ数を強調していることも気に掛かる。Webサイトのクローリングを強調している同社なら当然やりそうなことだが、同社の発見したサイトのほとんどを、実際にユーザーがクリックしないと考えるのは早すぎる。

 この調査から導き出されるのはありふれた結論だ。マルウェアは多くのURLを介して広がり、拡散の機会を増やそうとし、検出されるのを免れるために頻繁にバイナリパターンを変えている。ありがたいことにグーグルはこれを指摘している。

 グーグルがマルウェア対策ビジネスをやっていないのはこの論文を読むまでもなく分かることだが、論文を読めば、同社がマルウェアを理解していないことを確認できる。おそらく同社は、「われわれはグーグルだ。すべてをスキャンし、すべてを知っている」というスタンスなのだろうが、マルウェア対策ビジネスに関してはまったくの初心者だ。

 それでもまあいい。これは予断なく新たな視点で問題を見る学術論文なのだ。そういうものが役に立たないこともある。

原文へのリンク

(eWEEK Larry Seltzer)

関連記事

情報をお寄せください:



最新記事

@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
@IT