PR

ドライブバイダウンロード攻撃の仕組みと防御策

この記事は学習用です。ChatGPT と GitHub Copilot を使用しています。

1. 概要 — ドライブバイダウンロードとは何か

ドライブバイダウンロード(Drive-by Download)は、ユーザーが特定のウェブサイトを閲覧しただけで、不正なプログラムが自動的にダウンロードまたは実行される攻撃手法です。ユーザーがリンクをクリックしたりファイルを開いたりする必要がない受動的な感染経路である点が特徴です。

攻撃は、正規のウェブサイトに悪意あるスクリプトを埋め込む、あるいは脆弱な広告配信ネットワークを悪用する「悪意ある広告配信(マルバタイジング/malvertising)」を介してマルウェアを配布することで成立します。

主な特徴

種別説明
攻撃対象脆弱なブラウザー、プラグイン、OS
感染経路単にウェブページを閲覧するだけ
主な目的マルウェア配布、情報窃取、遠隔操作

2. 背景 — なぜ危険か

現代のウェブは JavaScript、PDF ビューア、ブラウザー拡張など多くの動的要素で構成されています。廃止・非推奨となった技術(例:Adobe Flash Player、Java アプレット、ActiveX)は歴史的に悪用の標的となってきました。これらやブラウザー本体に脆弱性が存在すると、攻撃者はユーザー操作なしに悪意あるコードを実行できます。

また、ドライブバイダウンロードは「エクスプロイトキット(Exploit Kit)」と呼ばれるツールで自動化されてきました。これらはブラウザー種別やバージョンを判別し、最適なエクスプロイトを選択して配布します。近年、典型的なエクスプロイトキットの活動は減少しましたが、同種の手口自体は依然として存在します。

3. 攻撃の流れ

以下に、典型的な攻撃フローを示します。

sequenceDiagram participant U as ユーザー participant W as 攻撃者が用意したサイト participant E as エクスプロイトサーバー participant C as C2(Command & Control) U->>W: 通常の Web ページを閲覧 W->>E: ユーザー環境情報を送信(User-Agent など) E-->>U: 脆弱性を突くスクリプト/エクスプロイトを送信 E-->>U: ペイロード(マルウェア)を配布 U->>C: 感染後、C2 へビーコン通信

このように、ユーザーが意識しないうちに感染が進行します。

4. 実際の攻撃例

4.1 Angler Exploit Kit

かつて広く利用された「Angler EK」は、Flash Player や Silverlight の脆弱性を突き、暗号化型ランサムウェアなどを配布していました。2016 年ごろに活動は終息したとみられています。

4.2 マルバタイジングによる感染

広告配信サーバーが侵害されると、正規サイトの広告枠経由で悪意あるコードが配信されます。これにより、一般ユーザーが信頼できるサイトを閲覧しても感染する危険があります。

5. 防御策と対処

ドライブバイダウンロードに対しては、システム・ネットワーク・ユーザーの 3 層で防御を講じることが重要です。

5.1 システムレベル

  • OS・ブラウザー・プラグインを常に最新に更新する
  • 不要なプラグイン(例:Java、旧式の Flash など)は無効化または削除する
  • サンドボックス化されたブラウザー(例:Google Chrome、Microsoft Edge)を使用する

5.2 ネットワークレベル

  • HTTP/HTTPS 通信のフィルタリング(プロキシ、IDS/IPS など)
  • DNS フィルタリング/ブロックリストの活用
  • HTTPS-Only モードや HSTS の活用(可能な範囲で)。なお、HTTPS でも悪性コンテンツが配布され得ます

5.3 ユーザーレベル

  • 不審なサイトや広告をクリックしない
  • セキュリティソフトのリアルタイム保護を有効にする
  • 権限昇格要求が出た場合は、内容を慎重に確認する

6. 実践的な防御設定例(Windows)

以下は Windows 環境の代表的な設定例です(管理者権限の PowerShell/コマンドプロンプトが必要)。

# Microsoft Defender ウイルス対策のリアルタイム保護を有効化
Set-MpPreference -DisableRealtimeMonitoring $false

# 望ましくない可能性のあるアプリ(PUA)ブロックを有効化
Set-MpPreference -PUAProtection Enabled

# コントロールされたフォルダー アクセス(ランサムウェア対策)を有効化
Set-MpPreference -EnableControlledFolderAccess Enabled
:: Windows Defender SmartScreen(OS 全体)を有効化
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\System" /v EnableSmartScreen /t REG_DWORD /d 1 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\System" /v ShellSmartScreenLevel /t REG_SZ /d Warn /f

:: Microsoft Edge の SmartScreen と PUA ブロックを有効化
reg add "HKLM\SOFTWARE\Policies\Microsoft\Edge" /v SmartScreenEnabled /t REG_DWORD /d 1 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\Edge" /v SmartScreenPuaEnabled /t REG_DWORD /d 1 /f

これらの設定により、不正スクリプトや未知のダウンロード/実行リスクを低減できます。

7. よくある誤解と注意点

誤解実際
「感染にはクリックが必要」閲覧だけで感染する場合もある
「HTTPS サイトなら安全」攻撃は HTTPS 上でも行われる場合がある
「セキュリティソフトがあれば安心」ゼロデイ脆弱性の攻撃は防げない場合がある

8. まとめ

ドライブバイダウンロード攻撃は、ユーザーが意識しないうちにマルウェア感染を引き起こす極めて危険な手法です。基本対策は「更新」「削除」「警戒」。すなわち、ソフトウェアを更新し、不要な機能を削除し、疑わしい挙動に警戒する。この 3 原則を徹底することで、被害を大きく減らせます。

A. 参考/一次情報

ランサムウェアの脅威と対策(IPA)
エクスプロイトキットを使用した Web サイト経由での攻撃に関する注意喚起(JPCERT/CC)
Microsoft Defender ウイルス対策機能を構成する(Microsoft Docs)

B. 関連書籍

コメント