悪性の検証環境における検知率は100%であった。Google Chrome Extensionの 実装ではクライアント側から発生する難読化されたリダイレクト通信を検知するこ とが困難であった。そのため、HTTPのReferer情報を用いた検知を実装したこと で改善された。また、正規のウェブサイトをクローリングした結果では、誤検知し たウェブサイト数が約53%であった。誤検知したウェブサイトの多くで広告ネッ トワークやユーザの情報を取得するための通信が発生しており、この通信を悪性と 判断していた。この手法の対策として、アドネットワークからのソースコード取得 をすることで改善することが可能である。
回避できると考えられる。
• 公開ブラックリストを用いた評価
検証ではドライブバイダウンロード攻撃の特徴である難読化されたリダイレ クトを再現するために、自身で構築したデータセットを利用したが、公開ブ ラックリストを用いた検証が必要と考えられる。公開ブラックリストを用い た検証において考えられる問題として、ブラックリストからドライブバイダ ウンロード攻撃を発見する必要があるが、ブラックリストをクローリングし た際のトラフィックおよび通信履歴から難読化を用いたドライブバイダウン ロード攻撃の発見が可能と考えられる。
• Google Chrome Extensionを用いた実装の問題点
Google Chrome Extensionを用いた実装でいくつかの問題点が確認できた。
確認された問題点には通信を識別する際のwebRequest側のタイムアウト問 題および、アドネットワークを検知するための拡張が存在しており、Chrome
Extensionの改良が必要と考えられる。タイムアウト問題では通信の識別を
1つの関数の戻り値で判断しているため、並列で通信の評価を行うことで高 速化が可能になると考えられる。また、アドネットワーク検知のための拡張 では、アドネットワークの誤検知をさけるためにアドネットワークで取得さ れるソースコードを得るための拡張が必要となっている。現在の実装では ウェブページのトップおよびトップでロードされているjsファイルのみ取得 を行っている。しかし、アドネットワークでは取得したjsファイル内に次の 通信先情報が記載されているため、次の次にあたる通信先情報の取得が不可 能であった。そのため、各ファイルに明記されているドメイン名を解析し、
ファイルを取得する必要がある。最後に、上記の問題を解決した後に正規の ウェブサイトを用いた再評価を行う。
謝辞
本研究をおこなうにあたり、本学 情報科学研究科の山口 英 教授、藤川 和利 教 授、安本 慶一 教授、門林 雄基 准教授、楫 勇一 准教授、猪俣 敦夫 准教授には、
研究方針・研究内容に関しまして、適切なご指導とご鞭撻を賜りましたことに厚 くお礼を申し上げます。また、日頃から研究内容について議論と多くの助言をし ていただきました奥田剛特任准教授、櫨山寛章特任准教授、樫原茂助教に深く感 謝いたします。本研究について多くの助言やサポートをしていただいたInstitut Mines-Télécom, Télécom SudParisの Gregory Blanc 氏、インターネット工学研 究室 OB飯村 卓司 氏、秋山 満昭 氏に深く感謝いたします。
また、D3M(Drive-by-Download Data by Marionette)データセットをご提供 いただきましたNTT セキュアプラットフォーム研究所の皆様、ならびに研究用 データセットを整備いただきました情報処理学会コンピュータセキュリティ研究会 マルウェア対策研究人材育成ワークショップ組織委員会の皆様に感謝いたします。
さらに、本研究は総務省戦略的国際連携型研究開発推進事業「日欧協調によるマ ルチレイヤ脅威分析およびサイバー防御の研究開発」ならびに欧州連合 FP7 プロ グラム契約番号608533(NECOMA)による支援を受けている。本稿における意見 は著者らのものであり、総務省および欧州委員会の見解を反映したものではない。
最後になりましたが、研究活動をおこなう上で、日頃から多くの面でお世話にな りましたインターネット工学研究室の皆様に感謝いたします。
参考文献
[1] Symantec Corporation, “Internet Security Threat Report 2014 Volume 19”, http://www.symantec.com/content/en/us/enterprise/other_
resources/b-istr_appendices_v19_221284438.en-us.pdf, p.12 ,2014.
[2] McAfee Labs, “McAfee Labs 脅威レポート”, http://www.mcafee.com/jp/
resources/reports/rp-quarterly-threat-q3-2014.pdf, p.32, 2014年 11月.
[3] Van Lam Le, Ian Welch, Xiaoying Gao, Peter Komisarczuk, “Anatomy of
Drive-by Download Attack”, in Proceedings of the Eleventh Australasian Information Security Conference - Vol. 138. pp. 49-58, Feb 2013.
[4] Trend Micro Security Intelligence Blog, “Youtube Ads Lead To Exploit Kits, Hit US Victims”, http://blog.trendmicro.com/
trendlabs-security-intelligence/youtube-ads-lead-to-exploit-kits-hit-us-victims/, 2014.
[5] 八木 毅, “マルウェア感染を検知・制御するブラックリストシステムの設計”, 電子情報通信学会技術研究報告 情報ネットワークpp. 25-30, 2012年5月. [6] Marco Cova, Christopher Kruegel, Giovanni Vigna “Detection and
Anal-ysis of Drive-by-Download Attacks and Malicious JavaScript Code”, in Proceedings of the 19th International Conference on World Wide Web. pp.
281-290, Apr 2010.
[7] Wei Xu, Fangfang Zhang, Sencun Zhu, “The Power of Obfuscation Tech-niques in Malicious JavaScript Code: A Measurement Study”, in Proceed-ings of the 7th International Conference on Malicious and Unwanted Soft-ware (MALWARE). pp. 9-16, Oct 2012.
[8] “McAfee セキュリティ解析センター Gumblar(ガンブラー)について”,
http://www.mcafee.com/japan/security/gumblar.asp
[9] 秋山 満昭, 佐藤 一道, 岩村 誠, 伊藤 光恭, “Gumblarの長期観測による分析”, 電子情報通信学会IA,2010年 6月.
[10] Konrad RIeck, Tammo Krueger, Andreas Dewald, “Cujo: Efficient Detec-tion and PrevenDetec-tion of Drive-by-Download Attacks”, in Proceedings of the 26th Annual Computer Security Applications Conference. pp. 31-39, Dec 2010.
[11] “Wepawet Home”, https://wepawet.iseclab.org/, 2014.
[12] “Cuckoo Sandbox”, http://www.cuckoosandbox.org/, 2014.
[13] Alexa Internet, “Alexa Top Site”, http://www.alexa.com/topsites , 2014.
[14] 秋山 満昭, 神薗 雅紀, 松木 隆宏, 畑田 光弘, “マルウェア対策のための研究用 データセット〜MWS Datasets 2014〜”, 2014年 6月.