今回の実装で発生した問題点の1つはリダイレクトの発生するポイントである。
リダイレクトの発生ポイントはサーバ側とクライアント側が存在しており、サーバ 側のリダイレクトでは.htaccessなどを用いたHTTPのレスポンスヘッダーでリダ イレクトを行う方法であり、Chrome APIsのwebRequest APIを利用することで 検知が可能なのに対して、JavaScriptのlocation.replace()などを利用するク ライアント側で発生するリダイレクトはwebRequest APIで検知することが不可 能である。また、この問題に加えて、Google Chromeの逐次レンダリング対策と
してmain_frameの読み込みは常に許可しているため、クライアント側でトップ
ページのリダイレクトが発生した際に、通信が常に許可されることで検知が不可能 であった。この対策として、HTTPのReferer情報を用いることでウェブページの 遷移を確認することができ、ページのリダイレクトが発生したと判定することが可 能となる。この対策を実装したことで、通信先情報が難読化されたトップページリ ダイレクトの検知が可能となった。
別の問題点として、通信の制御を行うタイミング問題が上げられる。webRequest APIを用いて通信の制御を行う際にタイムアウトが存在しており、タイムアウト時 間はダウンロードされるページや関連するファイルごとのダウンロードが終了され る時間までがタイムアウトの時間となる。そのため、ウェブページにリダイレクト のみが記述された軽量なウェブサイトの場合に検知のための情報を得ることが不可 能となり、検知が不可能になる問題が発生した。この問題に関してはプロキシを用 いることで解決可能である。ソースコードの取得の際にプロキシと連携し、ソース コードの取得を遅延させることで
また、誤検知問題では広告サイトやユーザの情報を取得する通信が多く検知され た。これは広告表示のためにアドネットワークとよばれる広告配信ネットワークへ アクセスを行っていることが原因の1つである。ウェブサイトではサイトの一部を
iframeで分割して広告配信を行っており、iframeで内部のウェブサイトを開いた
後に、アドネットワークを管理するサーバにアクセスして広告配信に必要な情報を 得ている。しかし、現在の実装ではアドネットワークからソースコードが取得でき ないため、誤検知が発生している。
6 章 おわりに
本章では6.1節で提案手法の結果と良性と悪性の難読化の調査および分類につい て得られた知見をまとめ、6.2節で今後の課題について述べる。
6.1 まとめ
本節では難読化の調査および提案手法の実装、評価について述べる。
6.1.1 難読化の調査
良性と悪性の難読化の調査を行い、HTMLで用いられるscriptタグ内の行数と 区切り文字の関係に着目し、決定木の作成を行った。作成した決定木を用いて難読 化の分類を行った結果、エンコード難読化に関しては誤検知10件、見落とし 8件 を確認した。また、決定木でランダムおよびデータ難読化に分類された行に対して 文字の利用率を調査し、その結果から記号の利用率が良性と悪性で変わらないこと に着目し、nltkライブラリのコーパスを利用したノイズ除去を行った。その結果と してノイズとして除去した単語数が悪性の除去率が良性の除去率よりも低いことが わかった。除去率の違いを決定木に反映することで悪性と良性の分類精度を向上さ せることができると考える。
6.1.2 提案手法
本研究では難読化の特徴を利用し、難読化を利用した悪性の通信を検知する手法 を提案し、実装、評価を行った。提案手法では難読化によって文字列が無意味な文 字列に変化することに着目し、ソースコードと難読化が解除された際に発生する 通信から難読化された通信を検知し、悪性と判断する。実装ではGoogle Chrome ExtensionのChrome Platform APIsを利用して実装を行った。評価では評価用 のデータセットを作成し、検証環境を用意した。検証環境ではドライブバイダウン ロード攻撃を脆弱性の悪用を除き、再現した。提案手法の評価した結果、構築した
悪性の検証環境における検知率は100%であった。Google Chrome Extensionの 実装ではクライアント側から発生する難読化されたリダイレクト通信を検知するこ とが困難であった。そのため、HTTPのReferer情報を用いた検知を実装したこと で改善された。また、正規のウェブサイトをクローリングした結果では、誤検知し たウェブサイト数が約53%であった。誤検知したウェブサイトの多くで広告ネッ トワークやユーザの情報を取得するための通信が発生しており、この通信を悪性と 判断していた。この手法の対策として、アドネットワークからのソースコード取得 をすることで改善することが可能である。