マルウェア配布ネットワーク
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/05/02 00:27 UTC 版)
「サイバーセキュリティ」の記事における「マルウェア配布ネットワーク」の解説
ドライブバイダウンロード型の攻撃では、攻撃のスケーラビリティ向上や運用コスト削減、対策耐性の向上といった理由により、複数の悪性サイト間をリダイレクトさせた上でマルウェアを配布する事が多い。こうした目的のために攻撃者により構築させる悪性サイトのネットワークをマルウェア配布ネットワークという。マルウェア配布ネットワークには以下の4種類のサイトが含まれる事が多い: 名称概要入口サイト 標的となるユーザが最初にアクセスするサイトで、多数のユーザをマルウェア感染させるため、改竄された一般サイトなどが利用される。入口サイトは踏み台サイトへとリダイレクトされている。 踏み台サイト 入口サイトに攻撃サイトのURLを残さないために設置され、攻撃サイトにリダイレクトされている。 攻撃サイト ユーザにマルウェアをダウンロードさせるためのシェルコードを仕込んだサイト マルウェア配布サイト ユーザは攻撃サイトのシェルコードにより、マルウェア配布サイトのマルウェアをダウンロードする マルウェア配布ネットワークは多数の入口サイトを少数の攻撃サイトへと導くための仕組みである。このような構成を取る事により、攻撃者には以下の利点がある: 複数のサイトを改ざんして入口サイトにし、攻撃サイトに誘導する事でスケーラビリティの高い攻撃を行う事ができる。 攻撃コードを改良する場合は少数の攻撃サイトやマルウェア配布サイトを書き換えれば、多数の入口サイトはそのままでよいので運用コストが下げられる。 踏み台サイトを経由する事で攻撃サイトのURLを入口サイトの管理者から隠しているので、対策耐性が高い。 リダイレクトには、HTTPリダイレクト、HTMLのiframeタグや「meta http-equiv="refresh"」を使ったリダイレクト、JavaScriptなどのスクリプトのリダイレクトの3種類があり、これらが攻撃に利用される。このうちHTMLのiframeを使ったリダイレクトは、widthとheightを0にする事でフレームサイズを0にし、さらにstyle属性を"visibility:none"や"visibility:hidden"にする事で非表示化できるので、標的ユーザに気づかれる事なくリダイレクトできる。同様にstyle属性を"position:absolute"にし、フレームの位置のtopとleftとしてマイナスの値を指定することでも非表示化できる。 またスクリプトを使ったリダイレクトの場合、リダイレクトが閲覧時に初めて生成されるようにできるので、リダイレクトされている事がウェブ管理者に気づかにくい。
※この「マルウェア配布ネットワーク」の解説は、「サイバーセキュリティ」の解説の一部です。
「マルウェア配布ネットワーク」を含む「サイバーセキュリティ」の記事については、「サイバーセキュリティ」の概要を参照ください。
- マルウェア配布ネットワークのページへのリンク
