2009年06月03日

新型webウィルスがアメリカに登場PC関連覚書

「難読化を繰り返して検出を困難に」――工夫を凝らすWebウイルス:ITpro

こちらはアメリカで確認されたもので、GENO-Gumblar系のwebウィルスとは基本的な手口が似ているが全くの別種で、さらに検出が困難となる仕掛けがなされているらしい。現時点で対応しているベンダーはごく少数だという。被害サイト数は既に2万に及ぶという。
今のところ国内での目立った感染例は報告されていないのだが、遅かれ早かれやってくるものとして出来る限りのことはしておいた方がいいだろう。

 今回のWebウイルスは、5月中旬以降話題になっている「Gumblar」とは種類が異なるものの、手口は基本的にほぼ同じ。いずれの場合も、攻撃者は何らかの方法で正規サイトに不正侵入してWebページを改ざん。Webページ中に、悪質なJavaScriptプログラムを埋め込む。このプログラムが、ここで言うところのWebウイルスである。

 今回のWebウイルスの特徴は、埋め込む際に何度も難読化を施していること。Gumblarでも難読化は行われているが、今回のウイルスでは難読化処理が3回施されているという(図)。目的は、セキュリティ対策ソフトの回避。プログラムのパターンを変えることで、検出されにくくする。

 Webウイルスが埋め込まれたページにユーザーがアクセスすると、別のサイトから、ソフトウエアの脆弱(ぜいじゃく)性を突くプログラム(エクスプロイト)がダウンロードされる。脆弱性のあるパソコンでは、そのエクスプロイトが勝手に動き出し、別のウイルスをインストールされる危険性がある。

 エクスプロイトがダウンロードされるサイトのドメイン名は「beladen.net」。このため同社では、今回の攻撃(Webウイルス)を「Beladen」と命名している。なお、ダウンロードされるエクスプロイトも難読化されている。


現時点で考えられる対策としては

・GENO対策同様、ブラウザやプラグインなどでJavaScriptの実行を無効または最小限に設定する
hostsファイルを編集し、「beladen.net」にアクセスしない設定を追加する
・ファイアーウォール等で「beladen.net」を遮断する設定を追加する

くらいだろうか。しばらく最新情報に注意していきたい。
(この手の攻撃ドメインはすぐに閉鎖・変更されるので一度指定したからと言って油断はできない)

[その他]

・iTunes・Quicktime周りの脆弱性も報告されているので対応しておいた方がいい。

深刻な脆弱性に対処:QuickTimeとiTunesの更新版がリリース - ITmedia News

FlashPlayerはブラウザごとにバージョンアップしなければならない事を忘れがち。特に私含め「普段IE使わない派」の方は放置しがちになるので忘れずにアップデートを。





GENOウィルスの件で注目度が高まり、私も推薦する内容を書いたりしているNoScriptだが、「これさえあれば」といった風潮は危険で本末転倒である、という高木浩光氏のエントリが興味深かった。

高木浩光@自宅の日記 - 「NoScript」をやめて「RequestPolicy」にした

Webの仕様では、JavaScriptは安全であり、常時オンでかまわない。そのように設計されている。危険があるとすれば、何らかに脆弱性が存在していて、修正していないときである。「何らか」とは、JavaScript自体に脆弱性が見つかる場合もあるが、Flash PlayerやAdobe Readerなどに見つかった場合もそうである。

(略)

ある脆弱性が発見されてパッチがまだ出ていないときに、回避策としてJavaScriptのオフが紹介されることがよくあるが、それはその脆弱性についての回避策(の一つ)であって解決策ではない。そこを混同させて語るのはやめてもらいたい。

本来なされるべき(想定される読者への)解説は、まず、(1)脆弱性がないならばそのままどう使ってもよいはずであるという原理を説明した上で、(2)脆弱性が見つかることがあるのでブラウザやプラグイン更新を怠らないようにし、そうしていれば(未知の脆弱性あるいは未修正の脆弱性がない限り)何も起きないことを説明し、そこに加えて、(3)それでもなお未知・未修正の脆弱性を突いた攻撃が発生しているので、それを警戒するならばこれこれの回避策や対策があると、そのように前提を明確にしながら順序立てて説明するべきである。それができないのはプロ失格だろう。


しかし、先日のNoScript作者がひき起した騒動を契機に、他に代替できるものはないかと探してみたところ、「RequestPolicy」という拡張機能を知った。これは、JavaScriptをブロックするのではなく、ドメインをまたがって参照している(same-originでない)インラインコンテンツ(Webページ中に埋め込まれた画像やフレーム、Flash、JavaScript等)をブロックするものである。1か月近くこれを試用してきて、「これでいいんじゃないか」「NoScriptじゃなくてもいいんじゃないか」と思うようになった。

正直、「NoScript」を使っていたときは、かなり多くのサイトでJavaScriptを許可する必要があって煩わしかったのだが、「RequestPolicy」ならば、そのまま動くサイトもけっこうある。JavaScriptが禁止されているわけじゃないからだ。


ふむなるほど。
確かにここのところのwebウィルスの挙動を考えれば面白いプラグインではある。
NoScriptとも競合しないようだが、これ、「experimental add-on」(実験的なアドオン)なので、インストールの際にひと手間要るし、日本語化もされてないのでちょっと敷居が高そうではあるんだよな。
あと多分、同人サイトに多い直リンクバナーなんかは軒並み表示されなくなる(他のサーバーから直接画像を呼び出して表示させるから)可能性が高いので、回るサイトの傾向によっては不便かもしれない。
まあチェックはしておこう。
この記事のはてブのコメントを見ていて、むしろAdblockPlusに興味を覚えたり。

個人的には、NoScriptのオプションにブラックリスト機能(絶対に関わり合いになりたくないドメインを追加できる)があればいいな〜と思ってるんだけど。
posted by 大道寺零(管理人) at 17:42 | Comment(0) | TrackBack(0) | PC関連覚書
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス:[基本的に空欄を推奨します。詳細はこちらをご覧ください。]

ホームページアドレス:

(コメント投稿後、表示に反映されるまで時間がかかる場合がございますのでご了承の上、重複投稿にご注意ください。)
コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。
この記事へのトラックバックURL
http://blog.seesaa.jp/tb/120761629
※ブログオーナーが承認したトラックバックのみ表示されます。

この記事へのトラックバック
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。