Webレピュテーションで解決する、セキュリティの課題【前編】 | ScanNetSecurity
2022.05.17(火)
コンテンツ
注目検索ワード
ホーム 特集 特集 記事

Webレピュテーションで解決する、セキュリティの課題【前編】

 インターネット上の脅威が変化する中、その対策としてWebレピュテーション技術への関心が高まっている。そこでWebレピュテーションを各製品に実装するトレンドマイクロ株式会社 の 小林 伸二 氏に、そもそもWebレピュテーションとは何か、どのように不正ファイルがある

特集 特集
 インターネット上の脅威が変化する中、その対策としてWebレピュテーション技術への関心が高まっている。そこでWebレピュテーションを各製品に実装するトレンドマイクロ株式会社 の 小林 伸二 氏に、そもそもWebレピュテーションとは何か、どのように不正ファイルがあるWebを評価しているのか、同技術の利点は何かを聞いた。

●Webレピュテーションとは?

 インターネットに存在する脅威はここ数年で大きく変化し、「Webからの脅威」と呼ばれる新しい形態が主流になっている。これはほとんどの会社で開いているポート80(HTTP)を利用して侵入してくるものを指し、多くの亜種(ウイルス対策ソフトに検出されないように小変更された不正ファイル)を持ち、それをさまざまなWebサイトに置き、大量の迷惑メールを使ってユーザをそこに導きダウンロードさせる、という特徴がある。不正ファイルは、大きな1つのファイルではなく、ファイルのダウンロードだけをしてくるダウンローダ、暗号化してゲートウェイをすり抜けるパッカー、不正ファイルの所在を隠蔽するルートキットなど、細分化された役割を持つ複数のファイルと、ユーザの情報を外部へ送信する不正プログラムが連携して動作している。トレンドマイクロの調べによると現在の不正プログラムの発生頻度は2.5秒に一度(さらに頻繁に発生するというベンダーもある)であり、この膨大な数のファイルをさまざまな地点からあの手この手で送り込もうとしている─というのが、現在の脅威の実態である。

 感染手法には、ダウンロードしたくなるような表現を巧みに用いてWebブラウザから不正ファイルをダウンロードさせるもの、脆弱性を突いて見ただけで感染するWebページ、USBメモリを使って拡散する不正ファイル、開いただけで感染するPDF─とさまざまな形態がある。

 このため、昔は不正ファイルが見つかったら、セキュリティベンダーがパターンファイルを作成し、ユーザに配信することで感染を防ぐことができていたのだが、この従来の方式では現在の増加し続ける脅威のモデルには対応するのが難しくなってきた。理由は、(1)不正ファイルの数が多すぎて、全ての不正ファイルの情報を含んだパターンファイルの配信を繰り返すとユーザのパターンファイル運用が大変になる、(2)不正ファイルがローカルに落ちてきてからの対策では非効率である、(3)感染経路がさまざまである、(4)オンライン詐欺など、不正ファイルを使わない脅威も広がっている─といった点がある。そこで注目されているのが「Webレピュテーション」である。

 Webレピュテーションとは一般に、クラウドを利用したWebサイトの評価技術を指す。インターネットに何百億とあるWebサーバ(ドメインやWebページまで)を評価付けして、不正と思われるWebサイトへの接続を制御・抑制することで、「Webからの脅威」から効果的にユーザを守ろうとするものである。Webレピュテーションでは、1つ1つのサイトを検証して白黒はっきりさせるのではなく、それぞれのサイトの評価値を使って判断する。評価対象である不正ファイルや利用される媒体(Webサイトやメールサーバなど)の数が以前とは比較にならないほど多くなっており、リアルタイムで脅威の要素(ファイルやWeb、メールなど)を判定し続けるような対策は、従来の完全に不正なもののみをブロックするマッチング方式だけではもはや実現できないのだ。

 Webレピュテーションに対応した製品としては、危険なWebサイトへの接続を受信・送信とも強制的に中断できるものから、検索エンジンの結果を危険度に合わせて「赤・黄・緑」のマークをつけて注意を促すものなどがある。いずれも、http接続をフックしたり、表示前にURLをデータベースに参照させたりすることにより接続を許可・制御している。

●Webレピュテーションの利点

 Webレピュテーションは、企業ユーザのみならず家庭でのWeb利用時のセキュリティにも大きな利点がある。まず、不正ファイルをいったん受け取ってから排除するのでなく、事前に予防できるようになる。すべてのファイルを受け取って削除するモデルは、2.5秒に一度不正ファイルが登場する現在の状況にはマッチしない。最新のパターンファイルの適用は企業の場合でも1日1回がもっとも多く、これ以上頻度をあげるのは運用上困難が伴う。さらに家庭では、平日はインターネットを使わず、週末だけネットショッピングをする、という人もいるだろう。このような場合には長い間パターンファイルが更新されておらず、最新のパターンファイルに更新されるまでは安心してインターネットを使用できない。クライアント側での更新に配慮するだけでなく、インターネット上にある脅威はインターネットで防御することが一層効率的なのだ。

 またWeb接続を制御すれば、不正プログラムによる情報送信を直接防止できるので、万が一感染したとしても最後の防御として使える。現在の脅威はユーザの情報(パスワードや口座番号が代表的)を得ることを目的としているが、情報の送信にもhttp接続を使うことが多い。このため、この通信を遮断できれば、最終的に悪者の目的を防げるわけである。WebレピュテーションはWebからの不正ファイルのダウンロードを防止するだけでなく、不正プログラムによる情報送信を防止することも可能なので、被害を防ぐうえで非常に効果的なのだ(ただし、Webレピュテーションをうたう製品のすべてがこの不正プログラムの送信防止を持っているわけではないので注意が必要)。

●Webレピュテーションの評価方法

 先に書いたように、Webサイトは何百億とあり、これらを1つずつ開いてみて正しいものか、不正なものかを判断することはできない。仮に一時的に判断できたとしても、それをずっと継続的に追っていくことは不可能だ。そこでレピュテーションによる評価付けが重要になる。レピュテーションの判定は、そのWebサイトが外からどのように見えているかを分析する。

 評価方法はベンダーによって異なるかもしれないが、トレンドマイクロではその運用状況から判断する。たとえば運営時間。一般的な信用ある会社のWebサイトはすでに長期間運用されているケースが多いが、不正なサイトは運用時間が非常に短く、また同様の内容で運用するサーバが国を転々と変えて発生するなど、安定性に欠いている。またそのサイトのリンク状況からも判定される。不正なサイトは不正なサイト同士リンクされていることが多く、また逆に信頼されているサイトが不正なサイトへリンクを持つことは少ない。また、不正ファイルが置いてあるサイトは、全体に不正なサイトである可能性が高くなる。このような運用状況を総合的に採点し、最終的にWebサイトの点数をつけ、そのサイト評価情報を製品が利用する。点数を使うことで、ユーザのセキュリティに対する厳しさに応じて、ブロックする程度を変えることができる。判定する範囲は、ページ単位で行うベンダーもあれば、ドメインのみを判定するベンダーもある。前者の場合は、あるページが何か改ざんなどされて危険な状態になった場合も、ドメイン全体にアクセスができなくなるということがなく、優れているといえる。

 世界中にあるサーバをすべてリアルタイムで計測することは不可能に近いため、実際には一度判定がすんでいるサイトや、安全とわかっているサイトのレピュテーション評価は行わない。リアルタイムで注意するのは、新しいドメインと、不正な関わりが見つかったサイトである。前者はドメインを管理する各国の機関に登録があった時点で調査を行う。後者は迷惑メールや不正ファイルにURL情報があったときに相関分析されて評価付けをする(後述)。たとえばこれまで安全だったサイトが改ざんされ、不正なサーバにリダイレクトされ、不正なファイルがダウンロードされるようになっていたとする。この場合、不正ファイルがダウンロードされた時点で製品が検出、ダウンロード元をクラウドに報告する。それを受けて接続状況を判断し、元のページの評価値を変更する。改ざんされたサイトは定期的に調べられ、問題が解決されたと判断すると評価値を戻す。

 以前は上記のようなWebの評価付けの処理を目視で、またはユーザからの情報を使って手動で登録していることもあったが、現在はクラウド(インターネット)のデータセンターで高速処理され、随時更新が行われている。とはいえ、世界中のサイトをリアルタイム更新するのは不可能なので、新しいサイトや不正な疑いのあるサイトはチェックする頻度を高めて、処理する必要がある。

【執筆:トレンドマイクロ株式会社 マーケティングプログラムマネージャ 小林伸二】


【関連リンク】
トレンドマイクロ株式会社
http://jp.trendmicro.com/jp/home/
Trend Micro Web Protection Add-On
http://jp.trendmicro.com/jp/products/enterprise/wpao/?ossl=1
90日間無償で利用できるPC向けWebセキュリティツールを提供 (トレンドマイクロ)
https://www.netsecurity.ne.jp/1_13304.html
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

マイクロソフトが5月のセキュリティ情報公開、Windows LSA のなりすましの脆弱性は悪用の事実を確認済み 画像

マイクロソフトが5月のセキュリティ情報公開、Windows LSA のなりすましの脆弱性は悪用の事実を確認済み
Intel製品に複数の脆弱性 画像

Intel製品に複数の脆弱性
さくらインターネットを騙るフィッシングメールに注意喚起 画像

さくらインターネットを騙るフィッシングメールに注意喚起
Microsoft Windows においてコールバック関数による Window オブジェクトの型検証不備により権限昇格が可能となる脆弱性(Scan Tech Report) 画像

Microsoft Windows においてコールバック関数による Window オブジェクトの型検証不備により権限昇格が可能となる脆弱性(Scan Tech Report)
FUJITSU Network IPCOM の運用管理インタフェースに複数の脆弱性 画像

FUJITSU Network IPCOM の運用管理インタフェースに複数の脆弱性
Stuxnet に匹敵/中国 APTがロシアを攻撃/EV 車充電システムへリモート攻撃 ほか [Scan PREMIUM Monthly Executive Summary] 画像

Stuxnet に匹敵/中国 APTがロシアを攻撃/EV 車充電システムへリモート攻撃 ほか [Scan PREMIUM Monthly Executive Summary]

インシデント・事故 記事一覧へ

ソーシャルログインで「STAYNAVI」で他の利用者の登録情報が閲覧可能に 画像

ソーシャルログインで「STAYNAVI」で他の利用者の登録情報が閲覧可能に
サカイ引越センターで個人情報の不適切な取り扱い、見積書を持ち出し一般ごみとして廃棄 画像

サカイ引越センターで個人情報の不適切な取り扱い、見積書を持ち出し一般ごみとして廃棄
理研農産化工へのランサムウェア攻撃でシステム障害が発生 画像

理研農産化工へのランサムウェア攻撃でシステム障害が発生
ダイカスト製品を製造するリョービの海外グループ会社にランサムウェア攻撃、システム障害発生 画像

ダイカスト製品を製造するリョービの海外グループ会社にランサムウェア攻撃、システム障害発生
しまむらのネットワークに不正アクセス、犯罪者集団の増長を招くことを考慮し情報開示は最低限に 画像

しまむらのネットワークに不正アクセス、犯罪者集団の増長を招くことを考慮し情報開示は最低限に
患者情報管理システムがアクセス可能な状態に、外部からの指摘で発覚 画像

患者情報管理システムがアクセス可能な状態に、外部からの指摘で発覚

調査・レポート・白書 記事一覧へ

OSSのセキュリティ確保事例、トヨタやソニー、デンソー、サイボウズ、ヤフー他 画像

OSSのセキュリティ確保事例、トヨタやソニー、デンソー、サイボウズ、ヤフー他
CrowdStrike 、Dockerを標的にしたクリプトマイニングオペレーション「LemonDuck」を解説 画像

CrowdStrike 、Dockerを標的にしたクリプトマイニングオペレーション「LemonDuck」を解説
トレンドマイクロ「国内標的型攻撃分析レポート2022年版」公開、4つのグループの特徴を整理 画像

トレンドマイクロ「国内標的型攻撃分析レポート2022年版」公開、4つのグループの特徴を整理
97%の組織が「Kubernetes」のセキュリティに懸念、VMware調査 画像

97%の組織が「Kubernetes」のセキュリティに懸念、VMware調査
米国はじめ5ヶ国のサイバーセキュリティ当局、攻撃者が悪用する脆弱性トップ15を公表 画像

米国はじめ5ヶ国のサイバーセキュリティ当局、攻撃者が悪用する脆弱性トップ15を公表
警視庁が「ランサムウェア」の脅威と対策について解説、被害件数は一昨年の4倍増に 画像

警視庁が「ランサムウェア」の脅威と対策について解説、被害件数は一昨年の4倍増に

研修・セミナー・カンファレンス 記事一覧へ

2022年度の「実践サイバー演習 RPCI」の受付開始 画像

2022年度の「実践サイバー演習 RPCI」の受付開始
強力な事故調査権限と影響力を持つ NTSB(米国家運輸安全委員会)のサイバー版を作る議論 画像

強力な事故調査権限と影響力を持つ NTSB(米国家運輸安全委員会)のサイバー版を作る議論
近未来の日本周辺の有事とデジタル庁のガイドライン そして4人の“ベテラン”達 ~ Security Leaders Conference 2022 春 画像

近未来の日本周辺の有事とデジタル庁のガイドライン そして4人の“ベテラン”達 ~ Security Leaders Conference 2022 春
情報セキュリティ大学院大学、5月28日に「2022春季オープンキャンパス」開催 画像

情報セキュリティ大学院大学、5月28日に「2022春季オープンキャンパス」開催
LogStare「セキュリティリスクを分析する“実践型” ログ分析ウェビナー」を開催 画像

LogStare「セキュリティリスクを分析する“実践型” ログ分析ウェビナー」を開催
GMOサイバーセキュリティ byイエラエのトップエンジニアが「Interopカンファレンス」に登壇 画像

GMOサイバーセキュリティ byイエラエのトップエンジニアが「Interopカンファレンス」に登壇

製品・サービス・業界動向 記事一覧へ

2022年1月改訂のFIRSTの加盟手続きをJPCERT/CCが解説 画像

2022年1月改訂のFIRSTの加盟手続きをJPCERT/CCが解説
「LogStare Collector」新バージョン2.3.0リリース、WindowsのディスクI/Oの監視に対応 画像

「LogStare Collector」新バージョン2.3.0リリース、WindowsのディスクI/Oの監視に対応
佐々木良一氏によるメタバース上のセキュリティ課題整理 画像

佐々木良一氏によるメタバース上のセキュリティ課題整理
IWI が漏えいクレデンシャルと類似ドメイン報告サービス開始、レコーデッド・フューチャーのインテリジェンスを活用 画像

IWI が漏えいクレデンシャルと類似ドメイン報告サービス開始、レコーデッド・フューチャーのインテリジェンスを活用
「SPiDER TM on CLOUD」販売開始、セキュリティ監視運用に集中した投資を実現 画像

「SPiDER TM on CLOUD」販売開始、セキュリティ監視運用に集中した投資を実現
CrowdStrike、攻撃者特化型の新たなクラウドネイティブ・アプリケーション・プロテクション・プラットフォーム(CNAPP)機能を導入 画像

CrowdStrike、攻撃者特化型の新たなクラウドネイティブ・アプリケーション・プロテクション・プラットフォーム(CNAPP)機能を導入

おしらせ 記事一覧へ

創刊23周年記念イベント「ハッカージャーナリスト誕生譚」オンライン公開インタビュー 11/18 開催 画像

創刊23周年記念イベント「ハッカージャーナリスト誕生譚」オンライン公開インタビュー 11/18 開催
Scan PREMIUM 創刊23周年記念キャンペーン実施中 画像

Scan PREMIUM 創刊23周年記念キャンペーン実施中
ScanNetSecurity 創刊23周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊23周年御礼の辞(上野宣)
セキュリティ業界最強の「ヤバイTシャツ屋」でも売っていないもの ~ 2021年 CrowdStrike カレンダー読者プレゼント 画像

セキュリティ業界最強の「ヤバイTシャツ屋」でも売っていないもの ~ 2021年 CrowdStrike カレンダー読者プレゼント
ScanNetSecurity システム更新のお知らせ 画像

ScanNetSecurity システム更新のお知らせ
特典ノベルティ写真公開、Scan PREMIUM 創刊22周年記念キャンペーン11月末迄 画像

特典ノベルティ写真公開、Scan PREMIUM 創刊22周年記念キャンペーン11月末迄
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×