Webからの脅威

概要

「Webからの脅威」とは?

Webからの脅威とは、複数の不正プログラムによるWeb経由での脅威連鎖を中心とした攻撃方法です。攻撃者にとって非常に効果的であるため、2007年以来継続的に使用されています。

攻撃の手法・特徴

攻撃者は複数の不正プログラムをWeb経由でユーザ環境に送り込み、脅威連鎖を引き起こします

  • 不正サイトへの誘導などの手段でユーザ環境に不正プログラムを感染させる
  • 感染した不正プログラムは外部不正サイトにアクセスし、他の不正プログラムをダウンロードしたり、遠隔操作を受けるなどの不正活動を行う
  • 新しく侵入した不正プログラムもまた外部不正サイトへのアクセスを行い、複数の不正プログラムがユーザ環境に多重感染すると同時に新たな不正プログラムの侵入が継続される

図:「Webからの脅威」の脅威モデル概念図

「Webからの脅威」の脅威モデル概念図

Webからの脅威は、ウイルス検出を中心とした従来型の不正プログラム対策の弱点を突き、対策を困難化させることを狙っています

  • 攻撃者は作成した不正プログラムを使用する前にウイルス対策製品による検出対応の有無を確認することができます。検出未対応と確認できた不正プログラムのみを攻撃に使用することにより、ウイルス対策製品の検出を回避できます
  • 時間の経過とともに当初は検出未対応だった不正プログラムも検出対応されていきます。しかし、不正サイト上の不正プログラムは変更が容易に可能であるため、当初使用していた不正プログラムが検出対応された場合もまた新たな検出未対応の不正プログラムと交換することにより、また検出を回避できます。また、不正プログラムの活動内容自体を変化させることも可能です。脅威連鎖を当初の内容から刻々と変化させていくことにより、対策を混乱させることができます
  • 侵入した不正プログラムは不正サイトよりまた新しい不正プログラムをダウンロードします。このため、侵入したすべての不正プログラムを駆除しない限り、また検出未対応の新たな不正プログラムが侵入し続けてしまうことになります

図:「Webからの脅威」によるセキュリティ対策困難化の概念図

「Webからの脅威」によるセキュリティ対策困難化の概念図

実際の攻撃では、正規Webサイト改ざん攻撃により一般の正規サイトを不正プログラムのホストとして攻撃に使用するケースが多く見られます。正規Webサイト改ざんの詳細についてはこちらをご参照ください

影響と被害

Webからの脅威による攻撃により対策や駆除が困難化するため、いったん不正プログラムに感染すると被害が長期化しやすくなります
Webからの脅威は1つの攻撃方法であり、最終的にユーザが受ける被害は攻撃者の目的によって変わります。攻撃目的として侵入することが多い不正プログラムは、ボット、アドウェア、スパイウェア、偽セキュリティソフト、オンライン銀行詐欺ツールなどです。これによりユーザは情報窃取や金銭的被害に遭う可能性があります

対策と予防

ユーザ側

  • 総合的なセキュリティソフトを導入し、常に最新の状態にする
  • ウイルス検出機能により不正プログラムを検出する
  • 外部不正サイトへのアクセスをブロックすることにより、Web経由での不正プログラムの侵入や脅威連鎖による被害拡大を防ぐ
  • スパム対策機能により、不正プログラムの感染に繋がる不審メールをブロックする
  • 脆弱性攻撃に遭わないよう、OSや使用しているソフトウェアを常に最新の状態にする

管理者側

  • エンドポイントへ総合的なセキュリティソフトを導入し、常に最新の状態にする
  • エンドポイントのOSやアプリケーションを常に最新の状態にする、あるいは脆弱性への対策を行う
  • ネットワーク内部から外部不正サイトへのアクセスをブロックする
  • ネットワーク内の不審な通信や挙動を可視化する

図:「Webからの脅威」への対策概念図

「Webからの脅威」への対策概念図

トレンドマイクロのソリューション

ユーザ側

予防と対策 トレンドマイクロのソリューション
個人用端末にも総合的なセキュリティソフトを導入し、常に最新の状態に保つ

ウイルスバスター クラウド

  • ウイルス検索機能による不正プログラムの検出
  • Webレピュテーション」機能により、不正サイトやC&Cサーバへの接続をブロック
  • E-mailレピュテーション」機能により、不正プログラム感染につながる不審なメールをブロック

管理者側

予防と対策 トレンドマイクロのソリューション
エンドポイントへ総合的なセキュリティソフトを導入し、常に最新の状態にする ウイルスバスター コーポレートエディション
Trend Micro Deep SecurityServerProtectなどの対策製品の導入
ネットワーク内部から外部不正サイトへのアクセスをブロックする ウイルスバスター コーポレートエディション
InterScan Web Security Virtual Applianceなどの製品の「Webレピュテーション」機能により、外部不正サイトへのアクセスを遮断する
メールサーバにおける不審メールの検出 InterScan Messaging Security Virtual Appliance、InterScan Messaging Security Suite Plus、Trend Micro Hosted Email Securityなどのメッセージングセキュリティ製品による不正プログラム感染に繋がる不審メールの検出
エンドポイントのOSやアプリケーションを常に最新の状態にする、あるいは脆弱性への対策を行う
Trend Micro Virtual Patch for EndpointやTrend Micro Deep Securityにより、脆弱性を狙った攻撃をブロックする
ネットワーク内の不審な通信や挙動を可視化する