怖い！ドライブバイダウンロード攻撃被害事例、エクスプロイトキットによる攻撃の手口

ドライブバイダウンロード攻撃とはWEBページへアクセスをしただけで、悪意あるコードがダウンロード・インストールされてしまう攻撃です。

ユーザーが知らない間にエクスプロイトキットによるそのPCの脆弱性を診断され、最適なマルウエアに感染する事になります。

ドライブバイダウンロード攻撃をおこなう犯行グループ事例やその対策を紹介しています。

ドライブバイダウンロード攻撃とは？

ドライブバイダウンロード攻撃（Drive-by Download）とは、主にOS（基本ソフト）や各種ソフトウェアの脆弱性を突くサイバー攻撃です。

WEBサイトにアクセスした際に、本人の知らないうちにソフトウェア（多くの場合はマルウェア）を勝手にダウンロード・インストールしてしまいます。

つまりパソコンやスマホに脆弱性があると、そのWEBサイトを見ただけでウイルス感染してしまうのですね。

この攻撃の特徴

このドライブバイダウンロード攻撃が悪質なのは、このダウンロードそしてインストールという工程がユーザー意思とは裏腹に勝手に完了してしまう事です。

ダウンロード・インストールされた事にユーザー自身が気づかないのです。

一切気づかずにダウンロード・インストールされる

WEBサイトの「どこかをクリック」したから発動するのではなく「ページを表示させた時点」でダウンロード・インストールが始まってしまいます。

当然ダウンロード中とかインストール中というガイダンスが出ないのです。

そして知らぬ間にPCやスマホがマルウエアに感染して、中の情報を漏えいしたり操作ができなくなったりするのです。

※ランサムウェアによる恐喝（お金を払わないと操作権限が取り戻せない）被害もよくありますね。

健全なWEBサイトも被害に遭う

ドライブバイダウンロードは怪しいWEBサイトでのみ起こるリスクではありません。

ガンブラーの様に攻撃者によって改ざんされてしまった有名なWEBサイトや多くのユーザーがいるサイトでも被害にあう場合があります。

ですのでいつも利用しているサイトだからと言って、厳密には100％安心できないと思って下さい。

ドライブバイダウンロード攻撃のパターン

ドライブバイダウンロード攻撃を細かく分類すると大きく2つのパターンがあります。

2種類のパターン

※両者の併用もあります。

脆弱性が無ければ人間側を操ろうとし、少しでも感染させる可能性の高い手段を取るのです。

OSの脆弱性を利用したユーザーの認識しないダウンロード・インストール

悪意コードが埋め込まれたWEBサイトを閲覧する事で、そのPCへのダウンロード・インストールが自動開始されます。

この悪意あるコードの事を「エクスプロイトキット」と呼ぶ事もあります。

エクスプロイトキットとは

エクスプロイトキットとは閲覧したPCを感染させようと、脆弱性を診断し様々な攻撃を試行するパッケージ化された商品の事です。

攻撃者があの手この手を使って、何とかしてマルウェアに感染させるために考案されたツールと言えますね。

※いろいろなキットの存在が確認されています。

技術的専門知識を必要とせずに使用する事ができ、ダークウェブなどで簡単に購入することができます。

このエクスプロイトキットによりPCに脆弱性があれば、その脆弱性にマッチしたマルウエアに感染してしまい、様々な被害をこうむります。

被害の例

攻撃者に乗っ取られたWEBサイトが利用される場合も

この攻撃はそういった怪しいWEBサイトを表示すると起きる訳ですが、怪しくない一般的なWEBサイトがその悪事の片棒を担がされる場合があります。

WEBサイトの管理権限がハッキング・改ざんされ以下の様な手助けをする事になるのです。

この一般的なWEBサイトは皆さんが良く利用する様な有名なサイトである場合があるので、訪問ユーザーはみんなエクスプロイトの餌食になってしまいます。

ユーザーに正規のソフトウエアと思わせてダウンロードさせる

このタイプの攻撃は、WEBサイト上で正当なウイルス対策プログラムから送信されたように見える通知を装って展開してきます。

そんな警告が出たら、ユーザーはPC等がウイルスに感染していると思い込みますよね。

修正アップデートを装う

さらにプログラムはこのウイルスを削除するための修正パッチ（ソフトダウンロード）を適用するように案内をします。

そういう事ならばと、ユーザーが積極的にファイルをダウンロード・インストールする可能性がありますよね。

自分で悪意プログラムをダウンロードしてしまう

この時ユーザーはそのプログラムの中に何が含まれているかを意識する事はありません。

これにより正しいプログラムと思いこんでマルウェアをダウンロードしてしまい、PCが感染する事になるのです。

これは人を操った「ソーシャルエンジニアリング」によるドライブバイダウンロード攻撃と言えます。

ソーシャルエンジニアリングとは

ソーシャルエンジニアリングとは下記情報を得るために心理的または非技術的な手段を使って人を操る手法です。

人を操る「人間のハック」

テクノロジーではなく人間を扱った攻撃になるため「人間のハック」とも呼ばれています。

一般的には、オレオレ詐欺などの高齢者詐欺、出会い系詐欺、税金詐欺などもソーシャルエンジニアリングにあたります。

上述のプログラムをダウンロードをする様に説得されているのはユーザー（人間）であるという事が根拠です。

全てマルウエアではなく一部が同梱されている場合も

悪意あるコードは、ユーザーがダウンロードしたパッケージ内の一部としてバンドルされている場合もあります。

この場合ユーザーは正当なプログラムをダウンロードして、ソフトが正常に動作しているように見えています。

しかし密かにドライブバイダウンロードがパッケージに含まれており、ユーザーが通常の仕事をしている間にPCに感染する可能性もあります。

犯行集団とエクスプロイトキットによる被害事例

ガンブラー攻撃

2010年に多くの被害をもたらした通称ガンブラー攻撃（Infostealer.Daonol）は、ドライブバイダウンロードを広く知らしめた事件です。

特筆すべきはやはり「WEBサイトを見ているだけでウイルスに感染した」という所ですね。

正規のWEBサイトが犯行補助

しかもこのガンブラー攻撃は悪意のあるコードの入った攻撃WEBサイトによる単独の犯行ではありませんでした。

多くの人が常日頃利用している正規のWEBサイトを閲覧したユーザーが、上記の悪意ある攻撃WEBサイトへと誘導されていたのです。

この正規のWEBサイトは管理権限が奪われていた事で中身が改ざんされており、攻撃WEBサイトへ誘導する手助けをしていたのです。

※これは大規模な被害事件として広く報道されましたね。

Lurkサイバー犯罪グループ

Lurkはドライブバイダウンロードの最も有名な早期利用グループです。

Lurkの代表的な攻撃手法は、悪意のあるiFrameコンテンツをロシアの人気WEBサイト内に設置する事です。

WEBブラウザの脆弱性を悪用したドライブバイダウンロードを展開していました。

サイト訪問者は悪意のあるWEBサイトに転送され、まずはそこで感染させるのに適切なマルウエアの有無を品定めします。

ソフト内情報から銀行口座のお金を引き出す

マルウェアを感染させる事ができた端末は主にロシアの銀行アプリなどを通じて簡単に資金を盗む事ができました。

Lurkは非常に注意深く、その犯行の跡を残さない様に特定のターゲットのみを攻撃し、攻撃後の回避テクニックも駆使していたとされています。

※数年続いた後いくつかの小さなミスが重なり、ロシア当局により逮捕されています。

広告出版サイトへの攻撃

2016年に最大級のドライブバイダウンロード攻撃が様々な有名パブリッシャーを襲いました。

影響を受けたWEBサイトには、MSN、ニューヨークタイムズ、BBC、コムキャストのXfinity、NFLなどが挙げられます。

これらのWEBサイトには毎月数百万から数十億の訪問ユーザーが存在します。

マルバタイジングによる攻撃

これらの各サイトが利用していた「広告ネットワーク」が攻撃者によって攻撃を受けていました。いわゆるマルバタイジングですね。

これによりハッカーはユーザーに「別サイトへ飛ばす悪意ある広告」を表示させていたのです。

これらの広告により、間にサーバーを経由して「エクスプロイトキット（Angler）」を被害者にダウンロードさせています。

パッチワーク

パッチワークは、主にアジアの標的に焦点を当てたサイバースパイ集団です。

当初は政府と外交機関サイトへの攻撃が中心でしたが、事業サイトも対象ターゲットにするようになります。

パッチワークは必ずしも最先端の攻撃で知られているわけではありませんが、既存のテクニックを駆使して攻撃を掛ける集団です。

Adobe Flashのアップデートを装う任意ダウンロード攻撃

中でもYoutubeの中国語版である「Youku Tudou」の偽バージョンを準備しておこなった犯行が有名です。

「Adobe Flash」のアップデートを装い、攻撃を仕掛ける悪意あるソフトウェアをユーザーにダウンロードさせていた事が判明しました。

この手法は上で説明した「ユーザーを操って悪意のあるダウンロードを実行するように仕向ける」パターンですね。

Erisランサムウェア

2019年7月、「Eris Ransomware」を被害者に配信するドライブバイダウンロード攻撃が展開されていることが発見されました。

攻撃者は広告ネットワークを介して、訪問ユーザーを「RIGエクスプロイトキット」にリダイレクトさせていました。

RIGエクスプロイトキットとは、JavaScript、Flash、VBScriptなどを媒介とする有名なコードです。

RIGエクスプロイトキットは、ブラウザのShockwave脆弱性を悪用しており、ユーザーにEris Ransomwareをダウンロード・インストールさせます。

ランサムウエアによる身代金要求

これにより被害者のPC内ファイルが暗号化されてしまい、ロックを解除する代わりに金銭支払いを要求する被害を与えていました。

上述したランサムウェア攻撃ですね。

この攻撃は被害者からの操作を一切必要とせずに全て実行できるウイルス攻撃です。

ユーザーはファイルのロックを解除する身代金としてかなりの金額を要求されますが、これを拒否するとアクセスが永久に制限され使用できなくなります。

GreenFlash Sundown

2019年6月、ShadowGateグループによるドライブバイダウンロード攻撃の急増が発見されます。

ShadowGateは韓国をターゲットに焦点を当てることで知られる有名なハッカーチームです。

攻撃は「GreenFlash Sundownエクスプロイトキット」に依存するもので、自己ホスト型広告サーバーを通じて拡散されました。

被害に遭ったのは、YouTube動画をダウンロード可能なファイルに変換する「onlinevideoconverter.com」WEBサイトです。

ユーザーがこのWEBサイトを通じてファイルをダウンロードする際にドライブバイダウンロードの罠にかけるという訳です。

最終的にはランサムウエアによる身代金攻撃

ダウンロードを通してオペレーティングシステム、ハードディスク、ビデオカード、ウイルス対策ソフトウェア、ユーザー名など、デバイスに関する情報が追跡されます。

その中で適切なPCがあれば、難読化されたJavaScriptを含む偽のGIF画像を介してリダイレクトされます。

最終的にはFlashエクスプロイトを使用して悪意のあるペイロードを配信する一連のサイトにリダイレクトしていきます。

Seonランサムウェア、Ponyボットネット、暗号化ソフトウェアの3つの脅威を被害者のPCにロードします。

これにより被害者の重要なファイルはロックダウンされ、ShadowGateに身代金の支払いを要求されてしまう訳です。

ターゲットとなったPCはその処理能力を利用して暗号通貨のマイニングをさせられ、かつ将来的な攻撃端末・新しいボットとしても活用されていた様です。

迷路

10月にMazeランサムウェアを広める新しいドライブバイダウンロードが使用されているSpelevoエクスプロイトキットが発見されます。

「迷路」はChaChaランサムウェアの変種です。

迷路の犯行の流れ

↓

↓

↓

↓

という流れです。

身代金支払いサイトへ誘導

最終的には、被害者がファイルのロックを解除するため金銭を支払う「TOR」Webサイトにつながる身代金メモを残していくのが手口です。

TORサイトによれば、身代金は1週間後に自動的に2倍になったとの事です。

※支払いが行われた後、攻撃者が実際に復号化キーを転送するかどうかは不明な様です。

ドライブバイダウンロード攻撃にGoogleサイトを使用

ドライブバイマルウェアがドライブバイダウンロード攻撃にGoogleサイトを使用しているという報告が上がりました。

新しいマルウェア「LoadPCBanker」は、Googleサイトを利用してドライブバイダウンロード攻撃を拡散しているとしています。

この攻撃の脅威は主にブラジルなどで拡散されていたそうです。

元々GmailなどのGoogleサービスには、悪意のあるファイルのアップロードをブロックする保護機能があります。

しかしGoogleサイトのファイルキャビネットにはその機能がありませんでした。この盲点を突いた攻撃ですね。

Googleという信頼性の裏を突く攻撃

ユーザーは通常、Googleに対して絶大な信頼を置いていますよね。

なのでファイルをダウンロードしたりサービス内にあるリンクをクリックする際に躊躇はしません。

ユーザーの警戒心をそぎ、Googleサービスの盲点を突いた攻撃でした。

現在は、Googleサイトの「ファイルキャビネットテンプレート」からのアップロードとダウンロードをブロックする事を推奨しています。

これも相手を信用させて、ユーザーに任意に悪意コードをダウンロードさせるタイプです。

Googleサイトとは

Googleサイトとは、Googleが提供しているホームページ作成ツールです。

専門的な知識がなくても誰でも簡単にホームページを作成することが可能なサービスです。

スマートフォンへのドライブバイダウンロード攻撃

ドライブバイダウンロードに対して脆弱なのはパソコンだけではありません。

ユーザー市場のモバイル化に伴い、攻撃者もモバイルに移行してスマホデバイスへの感染を試みる巧妙な攻撃を考案しています。

スマホは設計上通常のPC構成よりも安全にできている

スマホはより制限が厳しく、ユーザーが実行できることやユーザーが機能を壊してしまう可能性を制限しているためです。

デフォルトのセキュリティ設定を維持し、オペレーティングシステムとアプリが常に最新バージョンに更新されていれば、マルウエア感染の可能性はかなり低くなります。

フルアクセス権限があるスマホは注意

しかしジェイルブレイクしたiOSやルート権限のあるAndroidスマートフォンを持っている人は、リスクに直面します。

ジェイルブレイク・ルート化されたデバイスはいろいろな追加機能を利用できる代わりに、マルウェアがデバイスに感染しやすくなるのです。

モバイル向けマルウェアがアクションを実行するためには、このフルアクセス権限を必要とする傾向があるためですね。

モバイル端末の攻撃シナリオ

罠を貼る方法としてはWEBページや電子メール上の悪意のあるリンク、ダウンロードを開始するように騙す広告やポップアップなど様々あります。

この最も一般的な例の1つは、電話の着信画面を模倣した広告ですね。

普通電話の着信があれば、ユーザーはすぐ電話を取りますよね。

この心理による自動反応を利用して標的をだましてマルウェアを実行させる手口です。

ここでユーザーは通話に応答しているつもりですが、実際にはドライブバイダウンロードをダウンロードしています。

管理権限があれば何でも可能に

通常モバイルデバイスは、WEBサイト経由ではアプリを簡単にダウンロードできない仕様になっています。

デバイスがジェイルブレイクまたはルート化されていない限り、アプリは基本アプリストアからダウンロードする必要があります。

ですがフル権限があるスマホであれば、ハッカーにより被害者のデバイスに他のマルウェアをインストールして攻撃される可能性が上がるのですね。

PCと同じように情報を盗んだりボットネット化したり、デバイスのリソースを使用して暗号通貨をマイニングしたりする可能性もあります。

スマホ版ドライブバイダウンロード攻撃事例

KSクリーン

モバイルデバイスをターゲットとしたドライブバイダウンロードの例として、kskas.apkマルウエアがあります。

Godlike Productionsと呼ばれるフォーラムの広告を通じて拡散しているのが見つかりました。

ユーザーがこの広告に遭遇すると、エクスプロイトを使用してAndroid専用パッケージkskas.apkをダウンロードします。

悪意のあるダウンロードはアプリメニュー内では「Ks Clean」と呼ばれるAndroidの「クリーニングアプリ」として表示されます。

任意のアップデート行為を促す

インストールされるとこの記事の前半で述べたウイルスやシステムの警告によく似た偽のシステムアップデート告知が表示されます。

ユーザーには「OK」を押す部分しかなく、クリックすると「Update」という別のapkがインストールされます。

フル管理権限を譲渡してしまう

次に管理者権限を要求してAndroidレシーバーとして登録します。これにより権限が取り消されなくなります。

これによりユーザーに通知せずにファイルをダウンロードする機能や、他のアプリケーションの上に表示する権限など、アプリにさまざまな権限が付与されるようになります。

これによりホーム画面に目立つ広告が表示されたりと、様々な攻撃を受けるようになるのです。

ドライブバイダウンロード攻撃への対策

すべてを最新に保つ

ユーザーのアクションなしで（或いは任意で）ターゲットに感染する手法がドライブバイダウンロードです。

それらはIEやFlashなどの古いバージョンのソフトウェアのセキュリティ脆弱性を悪用する事が起点になっています。

これを防ぐためには、全てのソフトウェア（OSやWEBブラウザ・アドオン・アプリその他）をパッチが配布され次第更新する事です。

アップデートパッチは非常に重要

ほとんどの人がこの更新をちょっと面倒に感じていますよね。数が多いほど頻繁に告知が来ますからね

必要がなかったり新機能の追加でもないのにわざわざダウンロードをしなければならない訳です。

ところがこのアップデート更新は、最近発見されたセキュリティホールを防ぐ重要な役目もあるのです。

ゼロデイエクスプロイトを防ぐ

セキュリティを突破できる脆弱性が最初に発見された時、攻撃者らはそれら（ゼロデイエクスプロイト）を必ず狙います。

このゼロデイエクスプロイトを最初にホワイトハッカーや他の善意の当事者が見つけた場合は、開発者に密かにそれを知らせるでしょう。

その後開発者はその脆弱性を修正するアップデートパッチを発行して、犯罪者に悪用されるのを防げる訳です。

修正アップデートが来ることは幸運

つまりアップデートパッチが来るのは幸運な事なのです。

ですのでOSにしてもCMSシステムにしてもWEBブラウザにしてもアプリにしても、アップデートがあったら文句を言わずに必ず更新するようにしましょう。

攻撃を受ける要素数を制限する

特にCMS等のアプリケーションなどは、稼働しているプログラムとアドオンの数が多いほど管理数が多くなり、問題が発生する可能性も高くなります。

仮にプラグインが3つしかない場合は、プラグインを更新し続けるのは比較的簡単です。

そのうち一つのアップデートが遅れたとても、ハッカーの攻撃対象プラグインは1つに絞られますしね。

攻撃者に攻撃チャンスの機会を与えない

ところが30個のプラグインがインストールされていて、同じ割合で3分の1の作業が遅れた場合はどうでしょう。

それはハッカーに対して10個の攻撃チャンスを与えている事になるのです。

ベストな方法は、本当に必要なアドオンやその他のソフトウェアを吟味してインストールすることです。

数が多いのはリスクが増えるだけなので、定期的に確認して思い切って使用していないものは削除しましょう。

怪しげなWEBサイトは避ける

ドライブバイダウンロードに遭遇する可能性を低減させるには、見るWEBサイトもある程度限定する必要があります。

できるだけセキュリティの高いサイトのみとし、例えば日本であれば海外サイト（英語以外）など危険なWEBサイトからは離れた方が良いでしょう。

法人の場合は、社員が危険そうなWEBサイトにアクセスするのを制限するサイトブロックソフトウェアを使用する事も検討が必要です。

ポップアップと広告に注意しよう

ハッカーは絶えず試行錯誤を繰り返して、デバイスをハッキングできる新たな方法を編み出しています。

その意味でインターネットは潜在的に危険とリスクをはらんでいる世界なのだと認識する必要がありますね。

厳しい言い方をすれば、ポップアップまたは広告がパソコンにマルウェアを感染させる「罠の一つになる」事を認識しなければなりません。

ポップアップを警戒する事

例えばPCにウイルスに感染している、或いはシステムを変更する必要があることを示す通知が表示されたとします。

まずはそれがWEBブラウザからのものでないことを確認することです。

もしそうならそれはおそらくドライブバイダウンロードに引っ掛けようとする攻撃者の罠です。

WEBブラウザを閉じた時、ポップアップも消えるかどうか

ブラウザウィンドウを開いていない時に消えるかどうかを確認する事で、本当の告知かどうかが確認できます。

ブラウザを閉じてもそれが存在したままの場合は、それは間違いなく偽のウイルス通知です。

メールのリンクと添付ファイルに注意する

メールに記載のurlをクリックすると、マルウェアを内包したWEBページにつながる可能性があります。

電子メールはブラウザとはまた別の脅威ですが、添付されたファイルにも悪意のプログラムが入っている可能性があります。

知らない人からのメールリンクや添付ファイル等は絶対にクリックをしないでくださいね。

また逆に、知人から送信されたメールであるにも関わらず何か通常と違う変なメールだった場合も注意してください。

知人の電子メールアカウント自体がハッキングされ、他人をスパムするために使用された可能性もあるのです。

広告ブロッカー

広告を不正に表示してクリックさせる攻撃は、マルバタイジングと呼ばれ攻撃者がドライブバイダウンロード攻撃の際に用いる手段の1つです。

ブロックツール等を使って広告自体の表示をブロックしていれば、悪意のあるツールに感染することはありません。

これは効果的な戦略になる可能性がありますが、倫理的な問題も発生します。

多くのWEBサイトは無料でコンテンツを提供しており、ユーザーに広告を表示する事が収益源となっています。

広告ブロッカーを使用して極端に広告を非表示にすると、広告収入も入らない訳ですから運営側にとってサイト存続の危機にもなりかねません。

スクリプトのブロック

NoScriptなどのスクリプトブロッカーを使用してWEBブラウザを保護することもできます。

NoScriptをOFFにしていると、JavaScriptとFlashなどは自動的に実行され、操作もスムーズで機能的になります。

しかし逆に多くのドライブバイダウンロードの隙を与える原因にもなります。

スクリプトの実行を制限すれば脅威はない

NoScriptを使用すると、JavaScriptはデフォルトで無効になるのでこれらの脅威が削除されます。

JavaScript、Flash、およびその他のスクリプトの実行を許可する、信頼できるWEBサイトを限定する事もできます。

ドライブバイダウンロード攻撃の脅威を減らしたい場合はスクリプトのブロックは依然として非常に効果的です。

まとめ

ドライブバイダウンロードを初めて聞いた時は不安を感じるかもしれませんね。

いつも利用しているWEBサイトにアクセスする事でも、深刻な攻撃を受ける可能性が0ではないのですからね。

何より相手も本気です。あらゆる手段を使って陥れようとしてきます。

例え日頃常に利用していて信頼できるWEBサイトであっても、そこから転送された先がドライブバイダウンロード攻撃サーバーの可能性があるのです。

心配し始めればきりがないのですが、これらの攻撃による被害を受ける可能性を最小限に抑えることは比較的簡単です。

以上のセキュリティの基本を実施する事で、ドライブバイダウンロードによる多くの経路を排除できます。

上記の基本対策をマメにこうじる事で安全は確保されると思います。

一押し人気コーナー紹介

セキュリティ関連記事