PR
写真1●Gumblar攻撃の説明
写真1●Gumblar攻撃の説明
[画像のクリックで拡大表示]
写真2●リダイレクトされないようにProxySGは通信をブロック
写真2●リダイレクトされないようにProxySGは通信をブロック
[画像のクリックで拡大表示]
写真3●ProxySGはリダイレクト先のURLの判定をWebPulseにまかせる
写真3●ProxySGはリダイレクト先のURLの判定をWebPulseにまかせる
[画像のクリックで拡大表示]
写真4●WebPulseがリアルタイムにURL判定
写真4●WebPulseがリアルタイムにURL判定
[画像のクリックで拡大表示]

 ブルーコートシステムズは2010年3月3日、Gumblar(ガンブラー)攻撃への効果的な対策として、同社のプロキシアプライアンス「ProxySG」とWebセキュリティ用クラウドサービス「WebPulse」を組み合わせたソリューションについて説明した。

Gumblar攻撃への一般的な対策と問題点

 Gumblar攻撃とは、正規のWebサイトを悪意ある第三者が改ざんすることで、そのWebサイトにアクセスしたユーザーが次々とマルウエアに感染する攻撃手法のことだ(写真1)。同社のSEディレクターである小林 岳夫氏の説明によると、ユーザーから見たGumblar攻撃への一般的な対策としては、(1)シグネチャーベースのアンチウイルスソフトの利用、(2)ぜい弱性を修正したプラグインやOSの利用、(3)改ざんされた正規サイト上での対策――の三つが挙げられる。

 それぞれの対策には特徴がある。
 (1)はパソコンにアンチウイルスソフトを導入することを指す。ユーザーのパソコンで対処できるのが特徴だが、アンチウイルスソフトベンダーがパターンファイル(定義ファイル)を更新するまでに時間がかかるという問題点がある。

 (2)はOSのぜい弱性やFlash、Acrobatのぜい弱性を修正するセキュリティパッチを当てることを指す。こうすることで、マルウエア配布サイト(写真1の右「マルウエアA」と書かれたサイト)から最初にマルウエア本体がダウンロードされる時点での感染が防げる。

 以上の二つはパソコンユーザーが取る措置だ。これに対して(3)は改ざんされた正規サイトの管理者や、アクセス元のユーザー企業のシステム担当者の対応となる。単純な方法としては、改ざんされたWebサイトにアクセスできなくすることが挙げられる。こうすればマルウエア配布サイトへのリダイレクトは発生しない。その代わりユーザーは、正規サイトが元々持っているサービスを受けられない状態になる。

一般的な対策が持つ問題点を解消する

 そこで小林氏は、同社のProxySGとWebPulseを組み合わせたGumblar対策ソリューションを紹介した。
 ユーザー企業は自社ネットワークにProxySGを設置し、その上で「BlueCoat Web Filter」(BCWF)を動作させる。BCWFはProxySG上で動作するURLフィルターだ。そのデータベースには、怪しいWebサイトなどのURLがカテゴリー分けされている。

 ユーザーはProxySGとBCWFを通して改ざんされた正規サイトにアクセスし、マルウエア配布サイトにリダイレクトされる。このリダイレクト先のURLがマルウエア配布サイトのものかどうかをBCWFでチェックし、マルウエア配布サイトであればリダイレクトされないように通信をブロックする(写真2)。

 しかし、BCWFでカテゴリー分けできていないURLは5%程度あると小林氏は言う。Gumblar攻撃で使われるマルウエア配布サイトのURLはころころ変わるので、その5%に当てはまる。

 そういう場合、ProxySGはクラウドサービスのWebPulseにリダイレクト先のURLを判定させる(写真3)。WebPulseがリアルタイムでマルウエア配布サイトにアクセスしてカテゴリー評価を行い(写真4)、ProxySGにその結果を返してBCWFのカテゴリー情報をアップデートするのである。アップデートした結果、リダイレクト先が“クロ”だった場合、リダイレクトはされない。

 ここで紹介したソリューションを用いれば、改ざんされた正規のWebサイトのサービスは利用可能なままで、マルウエア配布サイトへのリダイレクトが行われないことになる。つまり、一般的な対策での(3)は不要になる。

 小林氏によると、このソリューションを導入すれば、ユーザーサイドでは(1)と(2)も考慮しなくてよいと言う。(1)はマルウエア配布サイトへのアクセスが起こらないためで、(2)はマルウエアがダウンロードされてこないのでそもそもソフトウエアのぜい弱性を突かれることがないからだ。

 もちろんこれらはGumblar攻撃単体に限った話であり、一般的なマルウエア対策をしておくことが望ましい。外部から持ち込まれたウイルスによる被害は、いわゆるUSBウイルスを見ても明らかだからだ。同社ではProxySGに加えて「ProxyAV」というアプライアンスを利用することでそのような脅威にも対応できるとしている。

■変更履歴
ブルーコートシステムズからの申し入れにより、小林 岳夫氏の役職名を当初掲載のものから変更しました。[2010/03/04 12:30]