マルウエア(コンピューターウイルス)の感染被害が後を絶たない。パソコンやスマートフォンなどのユーザーは対策が不可欠だ。
マルウエア対策の常識の1つが、「怪しいWebサイト(ドメイン)からはファイルをダウンロードしない」だ。ところが、マルウエア検査サービスのVirusTotalが公表したリポートによると、この常識が崩れつつある。アクセス数上位1000のドメインのおよそ10%から、マルウエアが配布されたことがあるというのだ。
また「署名が施されていないプログラムは実行しない」という対策も常識といえるが、これも怪しくなっている。有効な署名が施されたマルウエアが多数確認されているのだ。
VirusTotalのリポートをひもといて、過去の常識が通用しなくなっている現状を解説する。
1日に200万以上のファイルを検査
VirusTotalは米Google(グーグル)が運営する無料のマルウエア検査サービス。WebブラウザーでVirusTotalのWebサイトにアクセスして調べたいファイルをアップロードするだけで、70を超えるアンチウイルス製品で検査してくれる。
VirusTotalの歴史は古く、スペインのHispasec Sistemas(ヒスパセック・システマス)が2004年に設立。2012年にグーグルが買収した。世界中のユーザーから、1日当たり200万件以上のファイルがアップロードされるという。
今回VirusTotalでは、アップロードされたファイルなどを調査した結果をリポートにまとめて公開した。VirusTotalには世界中から怪しいファイルが多数アップロードされるので、今回のリポートはマルウエアのトレンドを知るのに役立つ。
その1つが、冒頭で紹介した「正規のドメインを使ったマルウエア配布」だ。
あるWebサイトが怪しいかどうかは、ドメイン名で判断することが多いだろう。だがなじみのある正規のドメイン名であっても安全とは限らない。そのドメイン名を持つWebサイトを誰でも構築できるケースなどは多いからだ。
例えば米Squarespace(スクエアスペース)のホスティングサービスを利用したWebサイトのドメインは「squarespace.com」、米Amazon Web Services(アマゾン・ウェブ・サービス)の仮想サーバーに構築したWebサイトなどのドメインは「amazonaws.com」になる。
今回のリポートはそのことを改めて浮き彫りにした。VirusTotalは、アクセス数が上位1000番までのドメインを「正規のドメイン」と認定し、そのうちのどの程度がマルウエアの配布に使われたのかを調べた。
その結果2022年になってから、101のドメインから約250万件のマルウエアが配布されていたという。
怪しいWebサイトからダウンロードしたファイルが危ないのは当然だ。だがWebサイトのドメイン名だけから安全かどうかを判断するのも危険なのだ。
署名付きマルウエアの87%が「有効」
デジタル署名への過信も禁物だ。ソフトメーカーが提供するプログラムの多くには、そのメーカーがつくったことを証明する署名が施されている。署名には、認証局がメーカーに発行する署名証明書を使用する。
署名が施されていないプログラムを実行しようとすると、OSなどは警告を表示してユーザーに注意を促す。製造元が不明な怪しいプログラムの可能性があるからだ。つまり署名の有無で、プログラムが怪しいかどうかを判断できる。
攻撃者はこの信頼を悪用する。メーカーから正規の署名証明書を盗み、マルウエアに署名を施すのだ。VirusTotalのデータベースを調査したところ、2021年以降、100万件以上の署名付きマルウエアを発見。そのうち87%に有効な署名が施されていた。
