サイト(Web)評価
接続するWebサイト(Webページ)がどの程度危険かを評価し、それを使用者に知らせることで、そのWebサイトへの接続を取りやめ、結果として不正サイトにアクセスすることを防ぐ手法として浸透してきたのが「サイト評価」だ。
多くのサイト評価製品では、使用しているWebブラウザのツールバー領域に新しいボタンが追加され、表示されたWebサイトが安全か、危険か、信頼済みか、不審か、それとも不適切な内容を含んでいるかどうかなどの評価結果によって、インジケータやポップアップなどを表示する。
また、Google、Yahoo!、MSNの検索サイトで検索を実行した際、表示されたリンク一覧をその危険度によって色分け表示したり、そのWebサイトに関する追加情報が見られたりする製品もある。
前述したように、Webサイトには元々悪意のある攻撃者によって設置されたWebサイトの他、脆弱性などを不正に利用され乗っ取られた正規のWebサイトも存在する。従って、昨日まで安全にアクセスしていた通常の正規Webサイトであっても、今日は安全とは限らない。これらサイト評価のソリューションを上手く活用することでWebサイトへのアクセスの安全性を高めることが可能となる。
Webレピュテーション
最後にトレンドマイクロ社が独自に提供しているのが「Webレピュテーション」を紹介する。WebレピュテーションとはWebサイトの「評判」を元にWebサイトの安全度のレーティングを定め、その指標により特定のWebサイトへのアクセスを制限するソリューションだ。
レビュテーション(Reputation)とは、評判、うわさ、名声、世評、好評、世間体などの意味である。メール送信元のIPアドレスの信頼性に基づいてメールをブロックする、「IPレピュテーション」技術は近年急増しているスパムメールへの対策として主流になりつつあるが、これをWebサイトに対して行うというのが「Webレピュテーション」の基本概念だ。
「Webからの脅威」の深刻化の背景には、Port80が閉じることができない、という事情に加え、悪意のあるサイトが非常に短い時間間隔でそのURLを変更することがあげられる。
前述したシーケンシャル(連続)攻撃によって、不正プログラムの攻撃を見つかりにくくするのと同時に、不正プログラムをダウンロードさせるWebサイトを短時間のうちに変更し、不正サイトの特定を困難にしようとする悪意のあるWebサイトが急増している。数時間ごとにWebサイトのドメインを変更する攻撃者も存在する。先に説明したURLフィルタリングでは、短い期間でドメインを移動する特徴を持つ悪意のあるWebサイトに対しては、データベースの更新が追いつかない可能性が高い。
Webレピュテーションのデータベースは、クローラー(情報を収集するための特別なプログラム)、アンテナサイトからのレポート、不正プログラム解析データからのレポート、ユーザからの報告などさまざまな「評判」を収集・整理し、最短35分でアップデートするなど、最新の脅威に対し極めて短い時間で対応することが可能である。またサイト評価と違いや、ユーザが意識的にアクセスしようとするWebサイトへの接続のみならず、不正プログラムがユーザの認識していないhttp通信を悪用してWebサイトとアクセスしている場合でも、レピュテーションのデータベースと比較し、問題があれば接続を遮断することが可能である。
Webレピュテーションの概念図
この「Webレピュテーション」は、トレンドマイクロ製品のエンドポイント及びゲートウェイにおいて順次提供されている。
次回は
今回は、「Webからの脅威」がどのような脅威であるか、何故最近になり脅威が深刻化してきたのか、また対策として考えられるソリューションにどのようなものがあるのかについてご説明した。
次回、第3回はインターネット上の攻撃が「Webからの脅威」に変化した現在の特徴的な現象の1つである「亜種の大量化」と、「シーケンシャル攻撃」について解説する。 タイトルへ戻る