過去数カ月、シマンテックは Web ベースのマルウェアが拡散される仕組みを解明しようと試みてきました。地下経済について書かれた記事は多く、またアンダーグラウンドの Web サイトから Blackhole などの悪用ツールキットを入手する方法も知られるようになりましたが、悪用ツールキットを手にした攻撃者はいったい、どうやってコンピュータを感染させるのでしょうか。今回のブログでは、Traffic Distribution System(トラフィック流通システム)または略して TDS を利用する拡散経路を取り上げることにします。
TDS はどう機能するのでしょうか。一言で言うと、TDS ベンダーは Web トラフィックを売買しています。概念自体は古いものですが、その悪用が実際に目立つようになってきたのは、この数年間のことです。
たとえば、所有している Web サイトから収益を上げたいとしましょう。考えられるのは、ユーザーの興味をひくリンクやコンテキストリンクをいろいろとページに設置することでしょう。訪問者がこれらのリンクをクリックすると、TDS ベンダーにリダイレクトされます。原理としては、Web でのクリックがこの TDS ベンダーに売られ、ベンダーはそのクリックまたはトラフィックを最高額の入札者に売るということになります。
そこで攻撃者は、Web サイトを感染させたり、盗み出された資格情報を買ったりするかわりに、こうした TDS ベンダーからクリックまたはトラフィックを買えばいいわけです。コンバージョンレートが高く、トラフィックの購入より多くを稼げるのであれば、攻撃者は利益を得られます。
積極的な攻撃者は、利用者の多い広告ネットワークから広告スペースを購入することも知られています。そうした広告のクリックスルー URL は、TDS ベンダーにリンクしています。実際、ここには仲介で稼ぐチャンスもあり、広告スペースを安く買い、それより高いマージンで TDS ベンダーにクリックを転売すれば、そこに利益が生まれます。ポルノや偽検索エンジンのような一部の Web サイトが、TDS ベンダーに直接リンクされていることも確認されています。
図 1: 人気のある広告ネットワークを示し、TDS ベンダーにトラフィックを誘導している URL
技術的には、誰でも TDS ベンダーからトラフィックを購入できます。ときには、トラフィックを買い入れて転売する第二、第三のベンダーも存在します。たとえば、よく知られているロシアのトラフィック取引 Web サイトは、こうした TDS ベンダーからトラフィックを買っています。
図 2: トラフィック取引 Web サイトで売買されているトラフィックのカテゴリ
ほとんどの場合、トラフィックの終点はポルノやゲーム広告、アンケートの Web サイトですが、攻撃者は TDS ベンダーからトラフィックを買っている場合もあり、悪用ツールキットがホストされている悪質な Web サイトに要求をリダイレクトします。この場合、クリックの終点はドライブバイダウンロード攻撃に使われるマルウェアを含む Web サイトということになります。
攻撃者にしてみれば、これはごく簡単です。ハッキングも、ハックされた Web サーバーの購入も必要なく、TDS ベンダーを見つけ出し、そこから悪質な Web サイトへのトラフィックを買うだけという手軽さです。TDS ベンダーは、悪質な Web サイトへの一定量のトラフィックを保証してくれます。TDS ベンダーには誰でもなれます。TDS ソフトウェアパッケージを買って Web サーバーにインストールするだけであり、ソフトウェアにしても、簡単にインストールできるサーバーサイドスクリプトで構成されている単純なものです。
各種の機能を持った多くの TDS ソフトウェアパッケージが出回っています。Sutra TDS、Sutra TS、Kalisto TDS、Simple TDS などがその代表です。たとえば Sutra TDS パッケージには、標的 URL の重み配分や、着信 URL の地理、プロキシ、キーワード、詳しい統計に基づくリダイレクトといった豊富な機能が用意されています。「UPTIME_BOT」という機能もあり、これは標的 URL がアクティブかどうかと、ページに悪質なコードが含まれていないかどうかを追跡するモジュールです。
図 3: Sutra 3.4 のトラフィックマネージャのインターフェース
TS パッケージ(Sutra TDS および TS と同じ会社が作成)は、トラフィック取引を行うための管理プラットフォームであり、Web トラフィックの売買と配分に対応したユニバーサルシステムであると称しています。TDS パッケージが重みやキーワードに基づいてトラフィックをリダイレクトするのに対し、TS パッケージでは複数のエンティティにまたがるトラフィックの売買と、トラフィック取引システム全体の管理が可能です。そのほかにも、ボット対策の検出(クリックボットの検出)、Web 決済、国ごとに異なる支払いレートの管理、購入者に対するトラフィックタイプ分類のサポート、統計レポートなど多くの機能があります。このようなスクリプトやソフトウェアパッケージの費用は、40 ドルから 275 ドルの範囲です。
多くのグレイなユーザーが、こうした TDS パッケージをインストールし、TDS ベンダーとして夜な夜な活動しています。TDS ベンダーのすべてが攻撃者によって制御され、悪質なエンティティにトラフィックを売っているわけではありません。合法的な TDS ベンダーも存在します。
簡単に言うと、コンピュータが危殆化する経緯は次のとおりです。
- ユーザーが正規の Web サイトを訪問する。
- Web サイトに広告ネットワークからの広告が表示される。
- ユーザーが広告をクリックし、TDS にリダイレクトされる。
- TDS はユーザーを最終目標 URL までリダイレクトする。ほとんどの場合、これはトラフィッククリックを買った正規の Web サイトです。最終目標 URL はドライブバイダウンロードのマルウェアをホストしている Web サイトです。
- ドライブバイダウンロードのマルウェアによって、コンピュータが危殆化する。
TDS ベンダーを利用してマルウェアを拡散すること自体は新しい現象ではありませんが、この手法を使ってドライブバイダウンロードのマルウェアを拡散するケースは増えています。それに伴って広告ネットワークが利用される例も増加傾向にあるため、合法的な広告企業は、購入者を調べるためにシステムを改善することが求められています。
シマンテックのお客様は、セキュリティソフトウェアを最新の状態に保ち、疑わしいリンクは決してクリックしないようにしてください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。