PR

Symantec Security Response Weblog

Social Bookmarking and Malicious Websites」より
May 30,2007 Posted by David Curran

 2007年5月,ソーシャル・ブックマーク・サイトreddit.comにあったトップ記事が,マルウエアをダウンロードさせるWebサイトにリンクされた。RedditやDiggなどのソーシャル・ブックマーク・サイトでは,ユーザーの人気度に応じて記事をランク付けし,その記事へのリンクを掲載している。問題のリンク先にあったマルウエアはTrojan.ByteVerifyの亜種で,ユーザーのパソコンに別のマルウエアのダウンロードも行う。

 ソーシャル・ブックマーク・サイトからのリンクを使うと,どれくらい効果的にマルウエアを広められるのだろう。いったい何台のパソコンを感染させられるだろうか。悪質なWebサイトによって感染する数は,そのWebサイトを閲覧したユーザー数と,閲覧者の中でそのマルウエアに感染しやすいユーザーの割合によって決まる。

 英Eコンサルタンシーによると,あるWebページがDiggで人気記事に選ばれた場合,1万2000人がそのページにアクセスするという。似たような手口では,マルウエアをまんまと実行させるためのソーシャル・エンジニアリング的な手口としてスパムが使われる。この現状を見ると,「悪質なWebサイトにユーザーをおびき寄せる目的で,マルウエア作者がソーシャル・ブックマーク・サイトにソーシャル・エンジニアリングを仕掛けることなどない」と考えるのは,あまりにも世間知らずだ。

 マルウエアの作者は,どうやって自分たちのWebページの“人気”を高めるのか。一つ目の方法は,大量に作成したアカウントを使い,人気記事に仕立て上げたい記事への“賛成票”を投ずるというものだ。こうした組織的な投票戦略はかつて複数のソーシャル・ブックマーク・サイトで問題となり,少なくともある程度の対策は講じられた。

 二つ目の方法は,注目を集める記事とタイトルを作るのだ。そもそもWebサイトのユーザーは,記事の人気を高める行為に悪用される特性を備えている。例えば,Diggで人気の出るタイトルの見本としては,「Hey, cool, someone wrote an article about Digg!(おい,Diggの記事を書いたやつがいるぞ!)」というものが紹介されていた。マルウエアの作者が悪質なWebサイトへの誘導にソーシャル・エンジニアリングの原理を応用し始めたら,感染率を上げられる。

 疑問はもう一つある。「悪質なWebサイトの閲覧によってどの程度マルウエアに感染するのか」というものだ。ソーシャル・ブックマーク・サイトのユーザーは,技術に詳しい場合が多い。システムに最新のセキュリティ・パッチやウイルス定義ファイルを適用していることが多く,OSやWebブラウザの種類もさまざまである。このため,1種類のOSとWebブラウザだけを狙った脅威は,利用者の一部にしか影響を及ぼさない。

 ユーザーを悪質なWebサイトに導くリスクを軽減するため,ソーシャル・ブックマーク・サイトの運営者は何ができるだろうか。考え得る答えの一つは,リンク先Webページにソフトウエア・ダウンロード機能があるかどうかを,自動的に検査するシステムを導入することである。ただ,マルウエアのダウンロードが行われないことを確認するには,多くのOSとWebブラウザでの検証が必要なため,ハードルが高い。このことが自動検査を難しくしている。

 ソーシャル・ブックマーク・サイトに詳しいユーザーがたくさんいれば,あるWebページが悪意を持つものであった場合,誰かがすぐにその事実に気付くかもしれない。こうした集団による知恵(crowd wisdom)によって,最終的に悪質なWebページは葬り去られるか,人気の出る前に報告される。今回紹介したRedditのケースでは,悪質なWebサイトが集団による知恵で見つけられる前に,最高の人気を獲得してしまった。ただし,悪質なWebサイトであるとRedditのユーザーに認識されたら,直ちに一覧から削除された。



Copyrights (C) 2007 Symantec Corporation. All rights reserved.
本記事の内容執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。

◆この記事は,シマンテックの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は,「Social Bookmarking and Malicious Websites」でお読みいただけます。