Descargas drive-by - Instalación silenciosa de malware
Lectura de 2 min aprox.
ドライブバイダウンロードとは、ユーザーが Web ページを閲覧しただけで、 クリックやダウンロード操作を一切行わずにマルウェアに 感染する攻撃手法です。ブラウザやプラグインの脆弱性を 悪用して任意のコードを実行するため、セキュリティ意識の高いユーザーでも 被害に遭う可能性があります。「怪しいサイトにアクセスしなければ安全」 という認識を根底から覆す攻撃であり、正規サイトが改ざんされて 攻撃の踏み台にされるケースも少なくありません。
攻撃の仕組み
Web ページ閲覧
不正 JS / iframe
脆弱性を自動探索
マルウェア実行
攻撃の中核を担うのがエクスプロイトキット (EK) です。Angler、RIG、Magnitude といった EK は、アクセスしてきたブラウザの種類、バージョン、インストール済み プラグインを自動的にフィンガープリントし、利用可能な脆弱性を選択して 攻撃コードを配信します。この一連の処理はミリ秒単位で完了するため、 ユーザーが異変に気づくことはほぼありません。
マルバタイジング - 広告ネットワーク経由の感染
マルバタイジング (malvertising) は、正規の広告ネットワークに悪意のある 広告を紛れ込ませる手法です。攻撃者は広告枠を正規に購入し、広告クリエイティブ 内に攻撃コードを仕込みます。広告が表示されるだけで (クリックしなくても) エクスプロイトキットへリダイレクトされるケースもあります。
| 感染経路 | 仕組み | 影響範囲 |
|---|---|---|
| サイト改ざん | 正規サイトの HTML/JS に攻撃コードを注入 | そのサイトの訪問者全員 |
| マルバタイジング | 広告ネットワーク経由で悪意ある広告を配信 | 広告が表示された全サイトの訪問者 |
| サードパーティスクリプト | 外部 JS ライブラリやウィジェットを侵害 | そのスクリプトを読み込む全サイト |
2016 年には大手ニュースサイトの MSN.com、BBC、New York Times の広告枠が マルバタイジングに悪用され、数百万人規模のユーザーが Angler EK に さらされた事例があります。正規サイトを閲覧しているだけで感染するため、 「信頼できるサイトだけ見ていれば安全」という対策は無力です。
水飲み場攻撃との関係
水飲み場攻撃は、 標的となる組織の従業員が頻繁にアクセスする Web サイトを事前に調査し、 そのサイトにドライブバイダウンロードの仕掛けを埋め込む標的型攻撃です。 不特定多数を狙うマルバタイジングとは異なり、特定の組織や業界を ピンポイントで狙う点が特徴です。業界団体のサイトや専門メディアが 踏み台にされるケースが報告されています。
ブラウザのサンドボックスによる防御
現代のブラウザはサンドボックス技術で 各タブのプロセスを OS から隔離しています。Chrome のマルチプロセスアーキテクチャ では、レンダラープロセスが侵害されても OS レベルのリソースにアクセスできない 設計です。しかし、サンドボックスエスケープの脆弱性が発見されることもあり、 サンドボックスだけに依存するのは危険です。
- ブラウザと OS の自動更新を有効化
- 不要なプラグイン (Flash, Java) の削除
- 広告ブロッカーの導入
- ネットワークレベルの URL フィルタリング
- 「怪しいサイトを避ける」(正規サイトも改ざんされる)
- シグネチャベースのアンチウイルスのみ
- JavaScript の全面無効化 (実用性が著しく低下)
- ユーザー教育のみに依存
パッチ管理の重要性
ドライブバイダウンロードの大半は既知の脆弱性を悪用します。パッチ管理を 徹底し、ブラウザ、OS、プラグインを常に最新の状態に保つことが 最も費用対効果の高い防御策です。エクスプロイトキットが狙う脆弱性の 多くは、パッチ公開から数日以内に攻撃コードが組み込まれるため、 更新の遅延は直接的なリスクに直結します。
「自分はクリックしていないから感染するはずがない」という思い込みが ドライブバイダウンロードの被害を拡大させています。ページを表示した だけで感染が成立する点を、組織のセキュリティ教育で繰り返し伝えることが 重要です。
ブラウザ拡張機能のリスクはブラウザ拡張機能セキュリティの記事で、 安全なアプリ導入は安全なアプリインストールの記事で 詳しく解説しています。ランサムウェア対策も あわせて参照してください。Web セキュリティの関連書籍は Amazonでも探せます。
¿Te resultó útil este artículo?