Webレピュテーションで解決する、セキュリティの課題【前編】

　インターネット上の脅威が変化する中、その対策としてWebレピュテーション技術への関心が高まっている。そこでWebレピュテーションを各製品に実装するトレンドマイクロ株式会社の小林伸二氏に、そもそもWebレピュテーションとは何か、どのように不正ファイルがある

特集特集

2009年8月19日（水） 09時15分

　インターネット上の脅威が変化する中、その対策としてWebレピュテーション技術への関心が高まっている。そこでWebレピュテーションを各製品に実装するトレンドマイクロ株式会社の小林伸二氏に、そもそもWebレピュテーションとは何か、どのように不正ファイルがあるWebを評価しているのか、同技術の利点は何かを聞いた。

●Webレピュテーションとは？

　インターネットに存在する脅威はここ数年で大きく変化し、「Webからの脅威」と呼ばれる新しい形態が主流になっている。これはほとんどの会社で開いているポート80（HTTP）を利用して侵入してくるものを指し、多くの亜種（ウイルス対策ソフトに検出されないように小変更された不正ファイル）を持ち、それをさまざまなWebサイトに置き、大量の迷惑メールを使ってユーザをそこに導きダウンロードさせる、という特徴がある。不正ファイルは、大きな1つのファイルではなく、ファイルのダウンロードだけをしてくるダウンローダ、暗号化してゲートウェイをすり抜けるパッカー、不正ファイルの所在を隠蔽するルートキットなど、細分化された役割を持つ複数のファイルと、ユーザの情報を外部へ送信する不正プログラムが連携して動作している。トレンドマイクロの調べによると現在の不正プログラムの発生頻度は2.5秒に一度（さらに頻繁に発生するというベンダーもある）であり、この膨大な数のファイルをさまざまな地点からあの手この手で送り込もうとしている─というのが、現在の脅威の実態である。

　感染手法には、ダウンロードしたくなるような表現を巧みに用いてWebブラウザから不正ファイルをダウンロードさせるもの、脆弱性を突いて見ただけで感染するWebページ、USBメモリを使って拡散する不正ファイル、開いただけで感染するPDF─とさまざまな形態がある。

　このため、昔は不正ファイルが見つかったら、セキュリティベンダーがパターンファイルを作成し、ユーザに配信することで感染を防ぐことができていたのだが、この従来の方式では現在の増加し続ける脅威のモデルには対応するのが難しくなってきた。理由は、(1)不正ファイルの数が多すぎて、全ての不正ファイルの情報を含んだパターンファイルの配信を繰り返すとユーザのパターンファイル運用が大変になる、(2)不正ファイルがローカルに落ちてきてからの対策では非効率である、(3)感染経路がさまざまである、(4)オンライン詐欺など、不正ファイルを使わない脅威も広がっている─といった点がある。そこで注目されているのが「Webレピュテーション」である。

　Webレピュテーションとは一般に、クラウドを利用したWebサイトの評価技術を指す。インターネットに何百億とあるWebサーバ（ドメインやWebページまで）を評価付けして、不正と思われるWebサイトへの接続を制御・抑制することで、「Webからの脅威」から効果的にユーザを守ろうとするものである。Webレピュテーションでは、1つ1つのサイトを検証して白黒はっきりさせるのではなく、それぞれのサイトの評価値を使って判断する。評価対象である不正ファイルや利用される媒体（Webサイトやメールサーバなど）の数が以前とは比較にならないほど多くなっており、リアルタイムで脅威の要素（ファイルやWeb、メールなど）を判定し続けるような対策は、従来の完全に不正なもののみをブロックするマッチング方式だけではもはや実現できないのだ。

　Webレピュテーションに対応した製品としては、危険なWebサイトへの接続を受信・送信とも強制的に中断できるものから、検索エンジンの結果を危険度に合わせて「赤・黄・緑」のマークをつけて注意を促すものなどがある。いずれも、http接続をフックしたり、表示前にURLをデータベースに参照させたりすることにより接続を許可・制御している。

●Webレピュテーションの利点

　Webレピュテーションは、企業ユーザのみならず家庭でのWeb利用時のセキュリティにも大きな利点がある。まず、不正ファイルをいったん受け取ってから排除するのでなく、事前に予防できるようになる。すべてのファイルを受け取って削除するモデルは、2.5秒に一度不正ファイルが登場する現在の状況にはマッチしない。最新のパターンファイルの適用は企業の場合でも1日1回がもっとも多く、これ以上頻度をあげるのは運用上困難が伴う。さらに家庭では、平日はインターネットを使わず、週末だけネットショッピングをする、という人もいるだろう。このような場合には長い間パターンファイルが更新されておらず、最新のパターンファイルに更新されるまでは安心してインターネットを使用できない。クライアント側での更新に配慮するだけでなく、インターネット上にある脅威はインターネットで防御することが一層効率的なのだ。

　またWeb接続を制御すれば、不正プログラムによる情報送信を直接防止できるので、万が一感染したとしても最後の防御として使える。現在の脅威はユーザの情報（パスワードや口座番号が代表的）を得ることを目的としているが、情報の送信にもhttp接続を使うことが多い。このため、この通信を遮断できれば、最終的に悪者の目的を防げるわけである。WebレピュテーションはWebからの不正ファイルのダウンロードを防止するだけでなく、不正プログラムによる情報送信を防止することも可能なので、被害を防ぐうえで非常に効果的なのだ（ただし、Webレピュテーションをうたう製品のすべてがこの不正プログラムの送信防止を持っているわけではないので注意が必要）。

●Webレピュテーションの評価方法

　先に書いたように、Webサイトは何百億とあり、これらを1つずつ開いてみて正しいものか、不正なものかを判断することはできない。仮に一時的に判断できたとしても、それをずっと継続的に追っていくことは不可能だ。そこでレピュテーションによる評価付けが重要になる。レピュテーションの判定は、そのWebサイトが外からどのように見えているかを分析する。

　評価方法はベンダーによって異なるかもしれないが、トレンドマイクロではその運用状況から判断する。たとえば運営時間。一般的な信用ある会社のWebサイトはすでに長期間運用されているケースが多いが、不正なサイトは運用時間が非常に短く、また同様の内容で運用するサーバが国を転々と変えて発生するなど、安定性に欠いている。またそのサイトのリンク状況からも判定される。不正なサイトは不正なサイト同士リンクされていることが多く、また逆に信頼されているサイトが不正なサイトへリンクを持つことは少ない。また、不正ファイルが置いてあるサイトは、全体に不正なサイトである可能性が高くなる。このような運用状況を総合的に採点し、最終的にWebサイトの点数をつけ、そのサイト評価情報を製品が利用する。点数を使うことで、ユーザのセキュリティに対する厳しさに応じて、ブロックする程度を変えることができる。判定する範囲は、ページ単位で行うベンダーもあれば、ドメインのみを判定するベンダーもある。前者の場合は、あるページが何か改ざんなどされて危険な状態になった場合も、ドメイン全体にアクセスができなくなるということがなく、優れているといえる。

　世界中にあるサーバをすべてリアルタイムで計測することは不可能に近いため、実際には一度判定がすんでいるサイトや、安全とわかっているサイトのレピュテーション評価は行わない。リアルタイムで注意するのは、新しいドメインと、不正な関わりが見つかったサイトである。前者はドメインを管理する各国の機関に登録があった時点で調査を行う。後者は迷惑メールや不正ファイルにURL情報があったときに相関分析されて評価付けをする（後述）。たとえばこれまで安全だったサイトが改ざんされ、不正なサーバにリダイレクトされ、不正なファイルがダウンロードされるようになっていたとする。この場合、不正ファイルがダウンロードされた時点で製品が検出、ダウンロード元をクラウドに報告する。それを受けて接続状況を判断し、元のページの評価値を変更する。改ざんされたサイトは定期的に調べられ、問題が解決されたと判断すると評価値を戻す。

　以前は上記のようなWebの評価付けの処理を目視で、またはユーザからの情報を使って手動で登録していることもあったが、現在はクラウド（インターネット）のデータセンターで高速処理され、随時更新が行われている。とはいえ、世界中のサイトをリアルタイム更新するのは不可能なので、新しいサイトや不正な疑いのあるサイトはチェックする頻度を高めて、処理する必要がある。

【執筆：トレンドマイクロ株式会社マーケティングプログラムマネージャ小林伸二】

【関連リンク】
トレンドマイクロ株式会社
http://jp.trendmicro.com/jp/home/
Trend Micro Web Protection Add-On
http://jp.trendmicro.com/jp/products/enterprise/wpao/?ossl=1
90日間無償で利用できるPC向けWebセキュリティツールを提供（トレンドマイクロ）
https://www.netsecurity.ne.jp/1_13304.html

《ScanNetSecurity》