Googleはマルウェアが分かっていない

Googleは「われわれはすべてをスキャンし、すべてを知っている」というスタンスのようだが、マルウェア対策ビジネスに関してはまったくの初心者だ。

　最近、Webベースのマルウェアに関するGoogleの研究論文を読んで胸が高鳴った。この論文を見ると、Googleがこの問題に関して興味深いスタンスを取っていることが分かる。だがわたしには、同社の研究がそれほど役に立つ情報を付加しているようには見えない。

　もちろん、同社は好むと好まざるとにかかわらず、この問題に巻き込まれる可能性が高いため、対応を急ぐ必要がある。最近ある研究者が実証したように、GoogleAdwordsを悪用してマルウェアを広めるのは簡単だ。専門的な手法ではない。最近の別のAdwordsを悪用した攻撃は、米商事改善協会（BBB）の名声を利用しようとした。この攻撃のデモビデオは公開されている。

　Googleは既にインターネット上のあらゆるものをスキャンしている。マルウェアを探さない理由はない。マルウェア対策コミュニティーでは以前から、マルウェアの直接配信がSMTPストリームからWebサイトへと全般的に移行してきたことがよく知られている。電子メールも依然としてよく利用されているが、添付された不正な実行可能ファイルの代わりに、「ここをクリックすると株情報とわいせつな写真が見られます」といったメッセージを見かけるようになった。

　宣伝されているWebサイトに行くと、攻撃者がユーザーをだましてマルウェアを実行させる方法は何通りもある。彼らは「ここをクリックしてプログラムを実行してください」と言うだけかもしれない。コンテンツを見るために「コーデック」が必要だと言うかもしれない――悪質な偽のコーデックはたくさん出回っている。あるいは、ブラウザの脆弱性を利用してプログラムを実行し、ユーザーに操作をさせることなくシステムに感染させる「ドライブバイダウンロード」を試みるかもしれない。何十もの手口があり、1分ごとに新たな手口が生まれている。Googleの論文はこの背景をかなり調べている。

　GoogleはWebをスキャンしていることから、ユーザーのシステムを攻撃しようとするページを探した。最初に「数十億件のURL」のスキャンにフィルタリングパスを使い、それから450万件に「掘り下げた分析」を行い、その結果ドライブバイダウンロードを実行する45万件のURLと、不正なサイトに見えるが確認できなかったURLを70万件発見した。

　この論文はこれらの点、つまり見つかったURLの数を取り上げているが、これは幻覚のようなものだ。実際にユーザーを感染させているサイトのリストと重なる部分はあまりない。ほかの企業の調査はもっと有用な情報を示している。Exploit Prevention Labsは、自社ユーザーが見つけたWeb閲覧の問題に対処し、データを報告する「LinkScanner」という製品を手掛けている。同社は、4月に最も通報が多かったWeb攻撃トップ5を以下に報告している。

1.既知の不正なサイトへのリンク（全攻撃の27.42％）：これ自体は攻撃ではないが、単純に既知の攻撃サイトにリンクしようとするもの。この種の既知のサイトは複数あり、実際に損害をもたらす可能性よりも、むしろ数の効果で1位になった。

2.改ざんされたMDAC（23.92％）：MDACは、Microsoftが想定していない状況で特定のActiveXコントロールを使うクリエイティブな手法を指す。ActiveXコントロールはファイルをディスクに書き込んで実行できるWebスクリプトの中でインスタンス化される。

3.ANI（11.9％）：元は中国のハッカーが発見し、利用していた。Windowsのアニメーションカーソル（.ani）ファイルを悪用する。IE 6あるいは7を走らせている、パッチ適用済みのWindows XP SP2に感染する。

4.Q406ロールアップパッケージ（9.33％）：Setslice、VML、XML、IE COM CreateObject Codeなど、最大12の攻撃コードを含み、たいていは厳重に暗号化されている。

5.WebAttacker 2.0（9.1％）：新しい最近の攻撃コードのプレパッケージで、以前のWebAttackerと似た配信方法を使う。ハッカーは、アンダーグラウンドマーケットでこのパッケージを買い、商用ソフトと同じように使うことができる。