Cracker Detect EXOCET 
ドライブバイダウンロード攻撃の脅威 〜 進化するガンブラー亜種
2009年12月からガンブラーと呼ばれるドライブバイダウンロード攻撃手法による Web改ざん被害が急拡大しており、連日のように国内企業においてもWebサイト改ざん被害のニュースが報道されております。また、さらなる亜種が増加、進化を続け新たな脅威を生んでおります。最新の攻撃では、パターンマッチングなどでの検出を回避するため、動的に生成される高度に難読化されたJavaScript内に悪意のあるプログラム(マルウェア)へのリンクを埋め込む攻撃手法が主流になっています。
また、「.htaccess」ファイル内に不正なリダイレクトを埋め込む事例が発見されています。単なる、外部からのHTTPアクセスによるWebページスキャンでは「.htaccess」ファイル内の記述まで確認することができません。
こうした進化する攻撃に対してBBSecでは、新サービス「Cracker Detect EXOCET」にて防御を実践いたします。
Webコンテンツ改ざん防止ソリューション Cracker Detect EXOCET
サービス概要
■改ざんコンテンツの公開を水際で阻止
- 業界初のFTPプロキシー型のリアルタイム改ざん検知により改ざんコンテンツの公開を防ぎます
■リンク評価にクラウドマーク社のレピュテーションDBを採用
- SNSだけで1億3000万アカウントを守る「Cloudmark Sender Intelligence」を採用しました
- レピュテーションDBの情報更新が圧倒的に高速です
■難読化リンクも.htaccessの改ざんも未然に防ぎます
- HTTP経由の改ざん検知ソリューションの弱点はEXOCET(エグゾセ)には存在しません
■フィッシングサイト等へ向けたリンクの埋め込みも未然に防ぎます
- レピュテーションは犯罪サイト全般を網羅しています
■改ざんに使用されたFTPアカウントもお知らせします
- 事後処理のための完璧な情報を提供致します
■大規模サイトでは検出用アプライアンスを設置・運用
- 必要最小限の稼働コストで余計な設備投資や回線負荷を生じさせません
- LDAPでのユーザ認証に対応しています(各種DBに対応予定)
■小規模サイトではFTPプロキシーのASPを提供致します
- FTPアカウント情報は弊社側でLDAPに登録致します
Cracker Detect EXOCETでは、ガンブラー等の攻撃手法によりFTPのID、パスワードなどが入手され第三者による悪意のある不正なリダイレクトの付加されたコンテンツやコンテンツ制御ファイルがアップロードされようとした際に、当該ファイルをチェックし、問題があると判定された場合はコンテンツのアップロードを抑止し、お客様のシステム担当者にメールで通知します。FTPアカウントを盗用され、第三者による改ざんコンテンツがアップロードされた場合、即座にその注意喚起と対策を可能にします。
難読化されたスクリプトを解読してURLを抽出
最新の攻撃では、パターンマッチングなどでの検出を回避するため、動的に生成される高度に難読化されたJavaScript内にマルウェアへのリンクを埋め込む手法が主流になっています。当システムでは、難読化を解除し、以下の分析手法を利用し、危険なリンクの付加されたコンテンツがアップロードされることを防ぎます。
1. クラウドマーク社のレピュテーションDB※によりリンク先の信用度を分析
世界で1億3,000万人が利用する最大規模のSNSサイトでも採用された、クラウドマーク社(Cloudmark, Inc. 本社:米カリフォルニア州、日本事務所:東京都千代田区 代表者 小島國照) のIPレピュテーションサービス「Cloudmark Sender Intelligence (以下 CSI)」を採用し、リンク先サイトの信用度を分析します。このCSIは、全世界で10億人を超すCloudmarkユーザコミュニティからのトラフィック・パターン、フィンガープリント、フィードバック情報などによりリアルタイムで更新され、これらの相関を解析、レピュテーションスコアをリアルタイムに算出します。分析の結果、信用度が低いと判断されたサイトへのリンクを含むコンテンツは、アップロードをブロックします。
※レピュテーションとは、スパムメールを受け取らないようにしたり、悪意あるWebサイトからウイルスをダウンロードしないようにするために、通信相手の“評判”(reputation)を事前に調べて通信を制限する技術を意味します。レピュテーションによって脅威に対するフィルタリング効果が高まり、スパムメールの受信やウイルスの感染を未然に防ぐ効果が実現されます。
2. さらにホワイトリスト、ブラックリストにより、レピュテーションによる制御を補完
上記1の判定に加え、お客様にてホワイトリスト、ブラックリスト※の定義が可能です。レピュテーション分析を補完した、お客様環境に合わせた柔軟な運用が可能になります。
※ホワイトリスト、ブラックリスト登録URLはお客様よりご指定いただきます。
最新のドライブバイダウンロード攻撃への対応
最新の攻撃では、.htaccessファイル内に不正なリダイレクトを埋め込む事例が発見されています。外部からのWebページスキャンでは、.htaccessファイル内の記述まで確認することができません。Uploadされたファイル全てをスキャンできる、当システムだけがこうした最新の攻撃手法に対応することができます。
感染PC、FTPアカウントの特定、注意喚起が可能
多く企業は、自身が不正なマルウェア等に感染していることには気付かずにコンテンツのアップロードを行なっている場合があります。当システムでは、アップロードをrejectするだけではなく、LDAPでディレクトリサーバを参照することによりFTPアカウントと連絡先メールアドレスを紐付け、なぜアップロードがrejectされたのかを連絡先に通知することができます。この機能により、万が一改ざんコンテンツがアップロードされた時にどのFTPアカウントが利用されたかを認識することができ、二次的な改ざん被害を食い止めることができます。
既存システムへの負荷影響を最小に
ファイルの受付からスキャン、access/reject処理や警告メール送付など、全ての機能は当システム上で対応します。そのため、既存システムに対して本サービスの利用による大きな負荷上昇などはなく、逆に不要なコンテンツのアップロード処理などを削減できるため、既存システムの安定運用にも寄与します。
>> 戻る
