ブルーコートシステムズは3月3日、ガンブラー対策として有効な同社のソリューションをを紹介する発表会を開催した。ここでは、その模様を簡単に紹介しよう。
ガンブラーのおさらい
|
|
|
ブルーコートシステムズ SEディレクターの小林岳夫氏 |
まずは、ガンブラーのおさらいから。
ガンブラーの活動は、善良かつ有名なWebサイトに対して難読化された悪意あるコードを埋め込むことから始まる。埋め込まれるコードは悪意あるWebサイトへリダイレクトするためのもので、埋め込み処理は、不正に入手したFTPアカウント(ID/パスワード)を使ったり、SQLインジェクションなどの攻撃により実施される。
ユーザーが改ざんされたWebサイトにアクセスすると、悪意あるWebサイトにリダイレクトされる。ただし、これはWebサイト表示処理の裏側で行われ、画面上は何も変化がないため、ユーザーはほとんど気づかない。
リダイレクト先では、各種のマルウェアをユーザーのPC上にダウンロードさせる。このマルウェアはPC内でアクティベートされ、データ通信をモニタリングする。通信データの中にFTPサーバのアカウントなどを発見すると、それを取得して、悪意あるWebサイトへ転送する。そのアカウントを使ってさらにWebサイトを改ざんし、感染活動を広げていくことになる。
|
|
ガンブラーにはじまる一連の感染活動の概略 |
以上が、一般的なガンブラーによる一連の攻撃だ。
なお、ユーザーのPCに送り込まれるマルウェアはさまざまな役割を持っており、モニタリング/データ転送処理が埋め込まれるまでに、複数のマルウェアが次々と呼び出されるというのが一般的だ。その詳細はこちらの記事で説明しているので参考にしてほしい。
ガンブラーの一般的な対策
以上のように、善良なサイトを改ざんして悪意あるコードを埋め込み、感染活動を開始するガンブラーは、従来の方法では対策を講じることが難しい。
ブルーコートシステムズ SEディレクターの小林岳夫氏によると、一般的な方法としては次のスライドのようなものが挙げられるが、いずれも高いリスクが伴ったり、ユーザーの利便性が失われたりするという。
|
|
一般的なガンブラー対策 |
BlueCoat Web Filterによる解決策
こうしたガンブラー問題を解決するソリューションとして紹介されたのがブルーコートシステムズのBlueCoat Web Filterである。
セキュアWebゲートウェイおよびWAN最適化機能を提供する総合基盤アプライアンス「Blue Coat ProxySG」のオプションとして提供されるBlueCoat Web Filterを利用すると、Webサイトへのアクセスを行う際に、日次で更新されるデータベースと突き合せが行われ、リダイレクト先も含め、アクセス先がどのような種類のWebサイトなのかが判定される。
この際、データベースにデータがないなどの理由により、判定できないURLも5%程度あるという。これらについては、BlueCoat Web FilterからWebPulseデータセンターに転送して判別処理を実施。16のマルウェア検知機能や、Webサイトの文字列をすべて読み取って行うマシン解析、さらに人間の目による解析処理を行い、Webサイトの種類を特定し、アクセスを許すかどうかを判定する。
|
|
BlueCoat Web Filterによるソリューションの概略 |
なお、WebPulseデータセンターについては、同社が無償で提供するセキュリティソフトウェア「K9 Web Protection」のユーザーからもデータを集めており、BlueCoat Web Filterと合わせると、ユーザー数は実に6200万に上るという。「このユーザー数の多さは他社サービスとの大きな差別化要因になっている」(小林氏)といい、発表会では未知のWebサイトもリアルタイムで判定できることと併せて強調されていた。
