Comments
Description
Transcript
HTTP 利用型スパイウェアの検知および遮断方式の検討 A
2005−CSEC−31(3) 2005/12/9 社団法人 情報処理学会 研究報告 IPSJ SIG Technical Report HTTP 利用型スパイウェアの検知および遮断方式の検討 大谷 尚通† 与那原 亨† 馬場 達也† 稲田 勉† †株式会社 NTT データ 〒104-0033 東京都中央区新川 1-21-2 茅場町タワー E-mail: †{ootanihs, yonaharaa, babatt, inadatt}@nttdata.co.jp あらまし 不正アクセスの営利目的化が進んでおり,今後,企業内の PC を狙ったスパイウェアが出現する危険性がある.ま た,ポリモフィック/メタモフィック技術によってスパイウェア対策ソフトの検知を回避するなど,スパイウェアの隠蔽技術 の高度化が進んでいる.本稿では,企業ネットワークにおける HTTP 利用型スパイウェアの脅威に対し,ネットワーク上にお いて,HTTP メッセージの解析による振る舞い検知方式や,HTTP 制御および URL 誘導による遮断方式を検討し,その実現方 法を提案する. キーワード スパイウェア,振る舞い,情報漏洩,HTTP,Proxy A Consideration of the Spyware Detection and Prevention System for HTTP Communication Hisamichi OHTANI† Akira YONAHARA† Tatsuya BABA† and Tsutomu INADA† †NTT Data Corporation Kayabacho Tower, 1-21-2, Shinkawa, Chuo-ku, Tokyo, 104-0033 Japan E-mail: Abstract †{ootanihs, yonaharaa, babatt, inadatt}@nttdata.co.jp Recently, many black hat hackers have been coming to work for the profit-pursuing purpose. Therefore, we’re afraid of appearance of the new spywares that take aim at the internal PCs of the enterprise network. And, the spywares have been coming to have skills about hiding from the Anti-Spyware software by the polymorphic/metamorphic coding technique. In this paper, we made an examination of behavior detection method by HTTP message analysis and interrupt method of HTTP control and URL modification. And we propose an implementation method of those two methods. Keyword Spyware,Behavior,Information leak,HTTP,Proxy 遮断方法を検討し,その対策方式を提案する. 1. はじめに 2. スパイウェア対 策 の現 状 不正アクセスやコンピュータウィルス/ワーム等 の動向が,大きく変化した.不正アクセスやコンピュ 2.1 企 業 内 の対 策 ータウィルスは,一部の“ハッカー”と呼ばれる人々 国内の企業,自治体等の組織におけるクライアント が技術を競ったり,いたずらや興味本位といった自己 用 の ウ ィ ル ス 対 策 ソ フ ト の 導 入 率 は ,92.4%と 高 い [2]. 満足のために行うものであった.しかし,最近では, よって,企業における当面のスパイウェア対策は,各 こ れ ら の 不 正 行 為 が“ 愉 快 犯 ”的 な も の か ら , “営利目 ウィルス対策ソフトに実装されたスパイウェア検知機 的 ”と し た も の へ と 大 き く 変 化 し た .な か で も ,氏 名 , 能による方法が主流であると思われる. 住所,電話番号,メールアドレスなどの個人を特定す 2.2 スパイウェア対 策 ソフトの特 徴 るための情報や,クレジットカード番号/有効期限, スパイウェア対策ソフトは,スパイウェア対策専用 銀 行 口 座 番 号 / パ ス ワ ー ド な ど の ID 情 報 の 不 正 取 得 を狙ったスパイウェアの増加が問題となってきている. ス パ イ ウ ェ ア は ,一 般 的 に 家 庭 用 PC に 侵 入 し ,個 人 の ID 情 報 の 搾 取 を 狙 っ て い る .し か し ,特 定 の 組 織 を 狙 っ た フ ィ ッ シ ン グ 手 法 の 一 種 “ Spear-Phishing” [1] が 現 れ た こ と か ら も 分 か る よ う に ,今 後 ,企 業 内 の PC を狙ったスパイウェアが増加することが予想される. 本稿では,イントラネットにおけるスパイウェアの 脅威に注目し,企業内におけるスパイウェアの検知・ の ソ フ ト と , 上 記 の よ う に ウ ィ ル ス 対 策 ソ フ ト や IDS / IPS 等 の 他 の セ キ ュ リ テ ィ ソ フ ト に ス パ イ ウ ェ ア 検 知機能を搭載したソフトに分けられる.後者のソフト は,スパイウェア検知は付属機能であり,検知可能な スパイウェアの種類が少ない.さらにウィルスやワー ム検知に用いるシグネチャマッチング方式をそのまま 利用するため,バッファ・オーバーフローなどの特徴 的なコードを含まないスパイウェアは,亜種の検知が ウィルスやワームよりも,より困難であると予想され −13− -1- る. バ ① ② へ 送 信 す る . 情 報 の 送 信 先 (情 報 収 集 用 サ また,スパイウェア対策ソフトは,端末上にて検 ー バ ① ② )は ,ラ ウ ン ド ロ ビ ン さ せ る .… (3)~ (7) • 知・除去を行うホスト型と,透過型ゲートウェイ装置 等として動作するネットワーク型の二種類が存在する. ブラウザのアクセスが発生した場合は,アクセス し た URL を 情 報 収 集 用 サ ー バ ① へ 送 信 す る .… (4) • 現在,ホスト型が主流である.ホスト型は,シグネチ 検索サーバ上でキーワード検索を行った場合は, ャマッチングによるスパイウェアプログラム自体の検 ア ク セ ス URL の 送 信 (5)と , 検 索 キ ー ワ ー ド の 送 知 だ け で な く , レ ジ ス ト リ ア ク セ ス や 改 変 , Windows 信 (6)を 行 う . ブラ ラウ ウザ ザ ブ API コ ー ル や DLL コ ー ル の フ ッ ク 等 , シ ス テ ム を 詳 細 に監視し,スパイウェアの侵入や実行を検知できる. しかしホスト型ソフトは,ソフト管理上の課題やスパ スパイウェア クライアント スパイウェア スパイウェア インストール インストール イウェアの攻撃対象になるなどの問題がある. スパイウェア スパイウェア 起動 起動 3. スパイウェアによる通 信 の分 析 スパイウェア用 情報収集用 ポータルサーバ サーバ ① (1) 初期登録・環境情報の送信 HTTP POST (2) 命令・アクセス先情報の受信 HTTP ACK (3) アクセスURL送信(データなし) Webroot Software 社 の 調 査 [3]に よ る 調 査 結 果 や ,S ブラウザ起動 ブラウザ起動 PYWARE GUIDE[4]の リ ス ト な ど を 参 考 に ,ア ド ウ ェ ア を Web表示 Web表示 (Google) (Google) 中 心 と し て 主 要 な ス パ イ ウ ェ ア ( 表 1) を 収 集 し た . キーワード検索 キーワード検索 (Google) (Google) 実験用ネットワークを構築し,実際にこれらのスパ (4) アクセスURLの送信 (5) アクセスURLの送信 イウェアをインストールして,その通信動作を分析し (6) 検索キーワードの送信 た [5]. Web表示 Web表示 (Yahoo) (Yahoo) 表 1:収 集 し た ス パ イ ウ ェ ア ( 一 部 ) 名称 Gator look2Me iMesh[Cydoor ,eZula] WebSearchToo lbar WebHancer FreeScratch AndWnd Perfect Keylogger Active Key Logger SpyAnywhere 種別 アドウェア アドウェア アドウェア 利用プロトコル HTTP HTTP HTTP アドウェア HTTP アドウェア アドウェア HTTP HTTP 商用キーロガー SMTP,FTP 商用キーロガー SMTP 3.2 スパイウェア通 信 の特 徴 Perfect Keylogger,Active Key Logger は ,キ ー 入 力・画 面 表 示 を 取 得 し て ,FTP/SMTP を 用 い て 外 部 へ 一 方的に情報を送信するだけの単純なスパイウェアであ っ た . し か し , そ れ 以 外 の WebHancer 等 の ス パ イ ウ ェ ア は ,HTTP を 利 用 し ,イ ン タ ー ネ ッ ト 上 の ス パ イ ウ ェ ア用のサーバと双方向かつリアルタイムな通信を行っ ていることが判明した.それらのスパイウェアについ て,通信の振る舞いを分析したところ,さらに以下の ような特徴も持つことが分かった. 商用キーロガー HTTP • よび以下に示す特徴を捉えた. インターネット上に設置されたスパイウェア用 • スパイウェアの動作は,取得した命令に従う. • ス パ イ ウ ェ ア 用 の サ ー バ 類 の ア ド レ ス は , URL フ ィルタ等を回避するために,定期的に変更される. の サ ー バ 類 と HTTP を 用 い て 通 信 す る . • • 定期的にスパイウェア用のポータルサーバから, 情 報 (命 令 , サ ー バ の ア ド レ ス )を 取 得 す る . WebHancer の 通 信 動 作 を 分 析 し た 結 果 か ら , 図 1お • (7) アクセスURLの送信 図 1: WebHancer の 通 信 例 3.1 スパイウェアの通 信 例 -WebHancer- • 情報収集用 サーバ ② HTTP • OS の 起 動 に あ わ せ て 自 動 的 に 起 動 し ,現 在 の 状 況 スパイウェアの配布用サーバから,最新のパッチ をスパイウェア用ポータルサーバへ通知する.た や プ ロ グ ラ ム (ス パ イ ウ ェ ア だ け で な く , さ ま ざ だし,スパイウェアが初めて起動した時は,スパ ま な 不 正 プ ロ グ ラ ム “ マ ル ウ ェ ア ” )を ダ ウ ン ロ イウェア用ポータルサーバへの初期登録を行う. ードし,自分自身の更新や機能追加を行う. … (1) • 広告配信用サーバから広告を取得し,表示する. 起動後,スパイウェア用のポータルサーバから, • 振 る 舞 い で は な い が , ス パ イ ウ ェ ア 毎 に HTTP ヘ スパイウェア用ポータルサーバと2つの情報収 ッダ内に記述誤りがある場合や独特な固有名称 集 用 サ ー バ の ア ド レ ス を 取 得 す る … (2) が含まれる場合などがある. ブラウザアクセス発生等のクライアント上のイ HTTP を 利 用 し た ス パ イ ウ ェ ア の 典 型 的 な 通 信 の 振 ベントに応じて,情報を取得し,情報収集用サー る 舞 い を 図 2に 示 す .ス パ イ ウ ェ ア (ク ラ イ ア ン ト )は , −14− -2- スパイウェア用ポータルサーバの管理下に置かれ,命 とインターネットの間でリアルタイムに大量のデータ 令やプログラムをダウンロードして,多様な活動を行 を や り 取 り し て い る .こ の こ と か ら ,HTTP を 利 用 し た う.このように最近のスパイウェアは,新しいプログ ス パ イ ウ ェ ア の 通 信 は , Firewall に よ る 防 御 (レ イ ヤ ラムをダウンロードして,自身の更新や機能追加を行 3)や IDS/IPS に よ る 検 知 (レ イ ヤ 5)が 困 難 で あ り , 通 う ト リ ッ ク ラ (Trickler)機 能 を 持 つ 点 が 大 き な 特 徴 で 常 の Web ア ク セ ス と 見 分 け が つ き に く い . こ の た め , あ る . こ れ は ,ホ ス ト 型 の ス パ イ ウ ェ ア 対 策 ソ フ ト に 本研究では,イントラネットにおいて最も脅威が大き よる検知を回避したり,キーロガープログラム等が発 い HTTP を 利 用 す る ス パ イ ウ ェ ア を 対 策 の 対 象 と す る . 見・除去されても,新たに別のプログラムをダウンロ 4.2 対 策 の方 向 性 ードして,スパイウェア活動を再開したりするための 本研究では,以下の理由から,ネットワーク上にお 仕組みである. けるスパイウェアの検知・遮断方式を検討する. スパイウェア用 ポータルサーバ スパイウェア クライアント スパイウェア 配布用サーバ • 情報収集用サーバ 広告配信用サーバ パターンマッチングによる検知が難しいポリモ フ ィ ッ ク /メ タ モ フ ィ ッ ク 技 術 を も つ ス パ イ ウ ェ ① 初期設定 命令取得 ② マルウェア取得 プログラム更新 ③ 個人情報送信 アも検知する. IPアドレス等、環境情報(POSTリクエスト) • 命令、他サーバアドレス(レスポンス) ホスト型のスパイウェア対策ソフトを攻撃して, 検知や除去を回避するスパイウェアによる情報 ダウンロード要求(GETリクエスト) マルウェア・ダウンロード(レスポンス) 漏洩も検知・遮断する. • ID/パスワードなど、情報送信(POSTリクエスト) (レスポンス) 一 般 家 庭 の 個 人 用 PC で は な く , 企 業 の イ ン ト ラ ネットからの情報漏洩を対象とし,スパイウェア ④ マーケティング情 報(URL)送信 ポップアップ広告 URL履歴送信、ダウンロード要求(GETリクエスト) 対策ソフトの導入・管理コストを考慮する. 広告など(レスポンス) • 個々の端末上ではなく,ネットワーク上(境界ル ータ付近)における効率的な検知・遮断を行う. 図 2: 典 型 的 な 通 信 の 振 る 舞 い スパイウェアが複雑なプログラム構造を持つ理由 4.3 スパイウェア通 信 (HTTP)の検 知 方 法 の検 討 は,大量感染して被害を発生させることで,その存在 こ れ ま で の 分 析 結 果 か ら , ス パ イ ウ ェ ア の HTTP 通 を誇示することを目的としたこれまでのウィルスやワ 信には,以下の特徴があることが判明している. ー ム と 異 な り ,マ ー ケ テ ィ ン グ や ID Theft な ど の 営 利 • 目的があるため,長期間に渡って隠れて活動すること 情 報 を 外 部 へ 送 信 す る た め ,POST メ ソ ッ ド を 多 用 する. が 求 め ら れ て い る か ら で あ る . な か に は ,“ Retrospy” • 標 準 的 な HTTP ヘ ッ ダ の 使 い 方 に 特 徴 が あ る . のようにホスト型のスパイウェア対策ソフトを攻撃し • ユ ー ザ 定 義 ヘ ッ ダ の う ち ,“ X-” で 始 ま る 独 自 ヘ て,検知や除去を防止するスパイウェアも出現してい ッダを多く使用している. る .さ ら に ,ポ リ モ フ ィ ッ ク /メ タ モ フ ィ ッ ク 技 術 を 用 • スパイウェア用のサーバ類からの命令を送信す いて,スパイウェア対策ソフトによる検知を回避した る た め の HTTP リ プ ラ イ は , HTML を 使 用 し な い , り ,ウ ィ ル ス /ワ ー ム の よ う に 強 力 な 感 染 能 力 を 持 っ た ま た は 単 純 な HTML 構 造 の 場 合 が 多 い . りしたスパイウェアの増加,ボットのスパイウェア化 など,新たな脅威の発生が予想される. そ こ で , ア プ リ ケ ー シ ョ ン レ イ ヤ (レ イ ヤ 7)に お い て , ユ ー ザ が ブ ラ ウ ザ を 用 い て Web ペ ー ジ を 閲 覧 す る 4. 対 策 方 法 の検 討 通 常 の Web ア ク セ ス と ,ス パ イ ウ ェ ア に よ る HTTP 通 信 4.1 対 象 とするスパイウェアについて との振る舞いの特徴を捉え,これを識別することでス 企 業 内 の 業 務 用 個 人 PC は , 各 家 庭 内 の 個 人 用 PC に パイウェアの通信を検知する方法を検討する. 比べて,インターネットから保護されたイントラネッ 4.4 スパイウェア通 信 (HTTP)の遮 断 方 法 の検 討 ト上に接続している.特にインターネットとイントラ ネ ッ ト の 間 に は , DMZ が 設 置 さ れ , Firewall や Proxy スパイウェアの対策方法は,端末上においてスパイ に よ る ア ク セ ス の 制 限 が 行 わ れ て い る . よ っ て , Wind ウェアプログラムを除去する方法と,端末上またはネ ows フ ァ イ ル 共 有 に 使 わ れ る 139 番 ポ ー ト や 445 番 ポ ットワーク上において,スパイウェアによる通信を遮 ートなど,容易に情報漏洩につながるプロトコルは遮 断する方法が考えられる. 断 さ れ て い る .し か し ,3.1の 分 析 結 果 か ら ス パ イ ウ ェ 企 業 内 で は , 頻 繁 に PC の リ プ レ ー ス や 追 加 が 行 わ ア は ,企 業 が 業 務 上 の 必 要 性 か ら オ ー プ ン し て い る HT れたり,スパイウェア対策ソフトが導入できない端末 TP(80/8080/443 ポ ー ト )や SMTP(25 ポ ー ト )を 利 用 し て , が存在したりする.各端末上にて対策ソフトを管理す 通 信 し て い る .特 に HTTP は ,普 段 か ら イ ン ト ラ ネ ッ ト るコストも考慮すると,ネットワーク上での対策のほ −15− -3- うが,効果的である.また,企業におけるスパイウェ 合 が 多 い .HTTP リ プ ラ イ の 内 容 に 連 動 し た HTTP ア対策は,まず情報の漏洩を防ぐことが優先事項であ リ ク エ ス ト も 発 生 し な い . HTTP リ プ ラ イ の 内 容 る.スパイウェアによって送信された情報が,境界ル が 一 般 的 な Web ペ ー ジ の HTML デ ー タ ら し く な い ータを越えてインターネット上へ漏れる前に阻止しな 場合は,スパイウェアによる通信と判断する. け れ ば な ら な い . 4.1で 述 べ た 企 業 ネ ッ ト ワ ー ク の 構 S 成 を 考 慮 す る と ,Firewall ま た は Proxy に お い て ,ス プロトコルレベル チェック処理 パ イ ウ ェ ア に よ る 通 信 (HTTP)を 遮 断 す る 方 式 が 合 理 的 N GETリクエスト? N である. POSTリクエスト? Y Y GETリクエスト/HTML受信が 行われたか? 5. Proxy を利 用 した検 知 ・遮 断 方 式 N HTTP 利 用 型 ス パ イ ウ ェ ア 対 策 の 検 討 結 果 ,お よ び 多 主要ブラウザ ヘッダパターン く の 企 業 ネ ッ ト ワ ー ク に は Proxy サ ー バ が 導 入 さ れ て い る こ と か ら , HTTP 通 信 を ア プ リ ケ ー シ ョ ン レ イ ヤ ヘッダレベル チェック処理 (レ イ ヤ 7)レ ベ ル に お い て 効 率 よ く 監 視・制 御 で き る P コンテンツレベル チェック処理 TTP 利 用 型 ス パ イ ウ ェ ア の 振 る 舞 い を 考 慮 し , Proxy サ ー バ に お い て ス パ イ ウ ェ ア に よ る HTTP 通 信 を 検 N Y 通信継続 5.1 検 知 方 式 3 つ を 提 案 す る .3 つ の 方 法 を 利 用 し た 検 知 の 全 体 フ ロ 通信遮断 図 3: ス パ イ ウ ェ ア 通 信 の 検 知 フ ロ ー HTTP 通 信 の 内 容 を チ ェ ッ ク す る 方 法 と し て ,以 下 の 5.2 ヘッダレベルチェックの検 証 ヘッダレベルチェック方式は,スパイウェアによる ー は , 図 3に 示 す . ステータスレベルチェック HTTP 通 信 の 定 性 的 な 分 析 だ け で は 仮 説 の 検 証 が 難 し イントラネット内の端末からインターネット上 い . そ こ で 6 種 類 の ス パ イ ウ ェ ア (Gator, iMesh[Cydo に 向 け て 送 出 さ れ た HTTP リ ク エ ス ト (以 下 ,Out or, eZula], look2Me, WebSearch, WebHancer, FreeS bound HTTP リ ク エ ス ト と す る )の 状 態 遷 移 を 監 cratchAndWnd)お よ び 前 記 の 主 要 ブ ラ ウ ザ 4 種 類 に つ 視 す る .ス パ イ ウ ェ ア は POST メ ソ ッ ド を 多 用 す い て ,HTTP ヘ ッ ダ を 取 得 し ,机 上 で 事 前 検 証 を 行 っ た . る こ と か ら , GET リ ク エ ス ト を 送 信 せ ず に POST 図 3に あ る 主 要 ブ ラ ウ ザ ・ ヘ ッ ダ パ タ ー ン と は , 主 リクエストを送信する場合などは,スパイウェ 要 ブ ラ ウ ザ 4 種 類 の HTTP ト ラ フ ィ ッ ク を 観 測 し , RFC アによる通信と判断する. 2616[7]に 基 づ い て 使 用 さ れ て い る HTTP ヘ ッ ダ を チ ェ ヘッダレベルチェック ック表にまとめたものである. Outbound HTTP リ ク エ ス ト の HTTP ヘ ッ ダ を 監 視 表 2: ブ ラ ウ ザ X の HTTP ヘ ッ ダ チ ェ ッ ク 表 [ GET メ ソ ッ ド 用 ]( 例 ) す る . Internet Explorer, Firefox, Opera, Sa fari 等 の 主 要 な ブ ラ ウ ザ は ,類 似 し た HTTP ヘ ッ フィールド名 リクエストヘ ッダフィール ド ダを使用する.一方,スパイウェアは,主要な ブ ラ ウ ザ と は ,や や 異 な る HTTP ヘ ッ ダ を 使 用 す る .主 要 な ブ ラ ウ ザ の 使 用 す る HTTP ヘ ッ ダ に 比 べて違いが大きい場合は,スパイウェアによる 通信と判断する. 3. N HTML複雑度分析 (スコア生成) Yポイント以上 知・遮断する方式を検討した. 2. Xポイント以下 Y roxy サ ー バ に 注 目 し た . 企 業 ネ ッ ト ワ ー ク の 構 成 と H 1. GET/POSTリクエスト ヘッダの比較分析 (スコア生成) 一般ヘッダフ ィールド コンテンツレベルチェック Outbound HTTP リ ク エ ス ト に 対 す る Web サ ー バ か ら の HTTP リ プ ラ イ の 内 容 を 監 視 す る .ユ ー ザ が エンティティ ヘッダフィー ルド その他 一 般 的 な Web ペ ー ジ を 閲 覧 す る 場 合 は ,Web サ ー バ か ら 多 く の 文 字 や 画 像 ,URL リ ン ク が 含 ま れ た HTML デ ー タ を HTTP リ プ ラ イ と し て 受 信 す る .一 方 , ス パ イ ウ ェ ア 用 の サ ー バ 類 か ら 受 信 す る HT TP リ プ ラ イ に は , サ ー バ 類 の ア ド レ ス や 命 令 コ スパイウェア 用ユーザ定義 ヘッダ ー ド な ど が 書 か れ て お り ,HTML 構 造 を 持 た な い , ま た は 一 般 的 な Web ペ ー ジ と は 内 容 が 異 な る 場 −16− -4- ヘッダ予約語 Accept Authorization Cookie Host : Cache-Control Connection Proxy-Connection : Content-Encoding Content-Length : Keep-Alive : AgentID AgentSpeed : 有無 有 無 有 有 : 有 有 有 : 無 無 : 有 : 無 無 : スコア 10 1 5 10 : 1 1 1 : 1 1 : 1 : 10 10 : • 頻繁に使用され,かつ必要性が高いヘッダのスコア Opera と Safari は , ス コ ア が 15 点 以 上 の 場 合 が は , 経 験 的 に 大 き な 値 を 設 定 し た . ブ ラ ウ ザ 毎 に GET 1 回ずつあった.チェック表はまだ試作段階であ メ ソ ッ ド 用 と POST メ ソ ッ ド 用 の 表 が 必 要 な た め ,合 計 り,チューニングが必要である.将来的にはヘッ 8 つのチェック表を作成する. ダ 出 現 率 [6]の 利 用 を 検 討 し た い . • 監 視 中 の 通 信 に 含 ま れ る HTTP ヘ ッ ダ と HTTP ヘ ッ ダ FreeScratchAndWnd は , BHO(ブ ラ ウ ザ ヘ ル パ オ ブ の チ ェ ッ ク 表 (表 2)の ヘ ッ ダ 予 約 語 の 有 無 の 排 他 的 論 ジ ェ ク ト )型 で あ り , IE コ ン ポ ー ネ ン ト 等 も 使 用 理 和 (XOR)を と り ,真 と な っ た ヘ ッ ダ に つ い て ,各 ス コ し て 通 信 す る と 思 わ れ る .よ っ て ,IE と の 区 別 が アを合計する.合計スコアの値がある閾値より大きい 難しい. • 場合は,スパイウェアによる通信と判断する.試作し Look2Me は 単 独 の プ ロ グ ラ ム と し て イ ン ス ト ー ル た チ ェ ッ ク 表 に 基 づ い て , 主 要 ブ ラ ウ ザ (4 種 類 )と ス さ れ る 場 合 と , BHO と し て イ ン ス ト ー ル さ れ る 場 パ イ ウ ェ ア (6 種 類 )に つ い て , ス コ ア を 試 算 し た 結 果 合 が あ る .IE コ ン ポ ー ネ ン ト も 利 用 す る と 思 わ れ , を 表 3に 示 す . そ の 場 合 は IE と の 区 別 が 難 し い . • 表 3: 主 要 ブ ラ ウ ザ /ス パ イ ウ ェ ア ス コ ア 例 ヘッダパターン 対象 Firefox ブラウザ IE Opera Safari GET (5) POST(5) GET (5) POST(5) GET (5) POST(5) GET (5) POST(5) Gator スパイウェア GET (5) POST(5) Look2Me GET (8) POST(2) iMesh GET (5) POST(5) Web GET (8) Search POST(2) Web GET (0) Hancer POST(10) FreeScrat GET (6) chAndWnd POST(4) Fire fox 5.0 2.6 7.6 5.6 13.0 5.4 14.0 9.0 35.0 38.0 18.0 28.0 31.6 36.0 21.6 40.0 8.2 7.6 9.6 6.6 10.2 8.4 11.6 8.0 Ope ra 5.6 5.6 6.6 8.6 10.0 5.6 11.0 10.0 Saf ari 8.2 10.6 7.6 8.0 13.0 11.4 8.0 1.0 29.0 39.0 14.3 29.0 26.0 37.0 16.9 42.0 36.0 41.0 17.3 29.0 33.0 39.0 21.1 42.0 33.0 34.0 15.3 22.0 30.0 32.0 18.6 35.0 IE WebSearch(GET リ ク エ ス ト )の 平 均 ス コ ア は 閾 値 以 上 だ が , 8 回 の GET リ ク エ ス ト の う ち , 2~ 6 番 目のリクエストは,スコア閾値を下回っている. 5.3 遮 断 方 法 の検 証 企 業 ネ ッ ト ワ ー ク に お い て HTTP 利 用 型 の ス パ イ ウ ェ ア 対 策 を 行 う 場 合 , 図 4に 示 す よ う な Proxy サ ー バ を 利 用 し た 方 式 は ,ス パ イ ウ ェ ア に よ る HTTP 通 信 を ア プ リ ケ ー シ ョ ン レ イ ヤ (レ イ ヤ 7)レ ベ ル に お い て 効 率 よく監視・制御できる. HTTP 利 用 型 ス パ イ ウ ェ ア に よ る 情 報 漏 洩 を 防 ぐ 簡 単 な 方 法 は ,疑 わ し い HTTP リ ク エ ス ト を 検 知 し た 時 に , その通信を遮断することである.しかし,ヘッダレベ ル チ ェ ッ ク 方 式 の 事 前 検 証 に お い て , 僅 か に 誤 検 知 (F alse Positive)が 確 認 さ れ た .HTTP リ ク エ ス ト を 遮 断 す る だ け の 方 法 で は , ユ ー ザ の Web 閲 覧 が 遮 断 さ れ る 可用性の問題が残る. 端末 正規の Webサーバ 134.0 135.0 137.0 130.0 19.8 13.8 22.0 19.0 Browser Intranet Intranet Anti HTTP Spyware Proxy Proxy Server Internet Internet スパイウェア用 サーバ類 Spyware Detour Access 括 弧 内 は , ス コ ア 計 算 に 使 用 し た HTTP リ ク エ ス ト Rewrite Rewrite Malicous URL/Command Detect! Detect! 数を表し,スコア値はその平均値を用いた.チェック Report 対 象 と し た ス パ イ ウ ェ ア の HTTP ヘ ッ ダ (GET/POST)は , 図 1, 図 2に 示 す よ う な 活 動 中 の 通 信 フ ロ ー か ら 取 得 Challenge Challenge し た .た だ し ,WebHancer と FreeScratchAndWnd は ,1 Spyware Web Server (Dummy) 種類のリクエストしか行わないため,そのリクエスト 図 4: Proxy サ ー バ を 利 用 し た 対 策 方 式 の ス コ ア の み 作 成 し た . 試 作 し た 表 3よ り , 以 下 の 検 本方式は,ユーザのブラウザを用いたアクセスとス パ イ ウ ェ ア の HTTP 通 信 を 識 別 す る こ と で ,ス パ イ ウ ェ 証結果およびチェック表作成に関する課題を得た. • • 主要ブラウザ 4 種類は,試作レベルのチェック表 ア の 通 信 を 検 知 す る .そ こ で ,疑 わ し い HTTP リ ク エ ス を用いても合計スコアが低く,ブラウザであるこ ト を 検 知 し た 場 合 は ,図 4に 示 す よ う に HTTP リ プ ラ イ とが容易に判別可能. の 内 容 に 含 ま れ る URL/IP ア ド レ ス を 作 為 的 に 変 更 し ス コ ア の 閾 値 を 表 3か ら 仮 に 15 点 以 上 と す れ ば , て,内部ネットワーク上の偽装サーバへ通信を誘導す ほ と ん ど の ス パ イ ウ ェ ア (6 種 類 )の HTTP 通 信 を 検 る.偽装サーバから,ボタンを押す等のユーザ・アク 知できる. シ ョ ン が 必 要 な HTTP リ プ ラ イ (HTML)を 送 信 し ,ブ ラ ウ ザ /ス パ イ ウ ェ ア 側 の 反 応 を 監 視 す る こ と で ,両 者 を 識 −17− -5- 別 す る . こ の 方 式 を URL 誘 導 -遮 断 方 式 と す る . ーネット上へ向かうスパイウェアの通信を一括 ユーザはブラウザ上に現れた「誤検知確認」ボタン して検知・遮断できる. • に反応するため,検知プログラムは誤検知を把握し, ウィルス・ワームに比べてトラフィック量が少な こ れ を 回 避 す る こ と が で き る (図 5の ⑥ ⑦ ). し か し , く,個々の端末上や各セグメント単位よりも,イ スパイウェアはこれに反応できず,また正しい命令も ンターネットとの境界ルータ付近における検 受信できないため,マルウェアのダウンロードや搾取 知・遮断が効率的である. • 情報の送信処理等は行われない. ⑨Update White List 端末 ①HTTP Request Intranet Intranet Browser Anti HTTP Spyware Proxy スパイウェア対策装置の設置数が少なく,導入・ 管理コストが少ない. Internet Internet ③HTTP Reply [HTML Data] 6.1 課 題 と今 後 の予 定 ヘ ッ ダ レ ベ ル チ ェ ッ ク 方 式 の み で は , BHO/ IE コ ン ②Detect! ②Detect! ポーネントを用いたスパイウェアの検知が難しい.し ⑧Report [FalsePositive] かし,よりマクロな視点によるステータスレベルチェ ⑦Response ⑥Challenge ⑥Challenge 集約できる. • ④Rewrite ⑤Detour Access ため,スパイウェアの情報および対処ノウハウが 正規の Webサーバ Proxy Server 企業内のスパイウェア通信を一括して監視する Spyware Web Server (Dummy) ック方式や,受信するデータを詳細に検査するコンテ ンツレベルチェック方式を組み合わせることにより, 誤 検 知 (False Negative)を 削 減 で き る と 思 わ れ る . 図 5: 誤 検 知 時 の 処 理 フ ロ ー 偽 装 サ ー バ は , ス パ イ ウ ェ ア (ク ラ イ ア ン ト )か ら の 今 後 , 試 作 し た 簡 易 Proxy プ ロ グ ラ ム へ , ス テ ー タ 送 信 デ ー タ も 受 け 取 る た め ,お と り サ ー バ /フ ォ レ ン シ スレベルチェック方式,コンテンツレベルチェック方 ック装置としても利用できる.ただし,偽装サーバ上 式による検知方式およびホワイトリスト機能を実装し, に 個 人 情 報 が 蓄 積 さ れ る こ と が 問 題 と な る 場 合 は , HT 実験用ネットワークを用いて,スパイウェアおよびブ TP デ ー タ の “ Rewrite” (図 5の ④ )の 代 わ り に , 直 接 ラウザを用いた実証実験を行う.あわせて,各チェッ “ Challenge”ペ ー ジ (図 5の ⑥ )を 送 信 し ,ブ ラ ウ ザ と ク方式のパラメータチューニングを行ない,実用化を スパイウェアの反応の違いから,両者を識別すればよ 目 指 し た 検 知 率 /誤 検 知 率 の 改 善 を 行 う . い . こ の 方 式 を HTTP 制 御 -遮 断 方 式 と す る . 文 5.4 動 作 検 証 用 プロトタイプの実 装 と実 験 結 果 簡 易 的 な Proxy プ ロ グ ラ ム へ , ヘ ッ ダ レ ベ ル チ ェ ッ ク 方 式 お よ び HTTP 制 御 -遮 断 方 式 を 実 装 し , ブ ラ ウ ザ アクセスによる動作確認を行った. 通常のブラウザアクセスにおいて,画像の読み込み を 誤 検 知 (False Positive)す る 場 合 な ど が あ り , 試 作 した主要ブラウザのチェック表が不十分であると思わ れ た . HTTP 制 御 -遮 断 方 式 は , 正 常 に 動 作 し た . 6. まとめ 本 稿 で は , 企 業 ネ ッ ト ワ ー ク に お け る HTTP 利 用 型 ス パ イ ウ ェ ア の 脅 威 に 対 し , Proxy サ ー バ に お い て HT TP 通 信 の 振 る 舞 い を 考 慮 し た 検 知 方 式 と ,ア プ リ ケ ー ションレイヤの通信制御による遮断方式を検討し,そ の実現方法を提案した. 本方式は,端末上においてスパイウェアのプログラ ム自体を検知し,停止・除去する既存の対策方式とは 異なり,ネットワーク上においてスパイウェアによる 通信を検知し,情報の漏洩やマルウェアのダウンロー ドを防止する方法である. 本方式は,以下に示す利点が考えられる. • 献 [1] Erik Larkin, “Threat Alert: Spear Phishing”, PC World magazine, November 2005. [2] 総 務 省 ,”情 報 セ キ ュ リ テ ィ に 関 す る 実 態 調 査 ”, 平 成 16 年 7 月 , http://www.soumu.go.jp/s-news /2004/040705_2.html [3] Webroot Software, Inc., “STATE OF SPYWARE Q 1 2005”, http://www.webroot.com/ [4] Xblock Systems, LLC. “SPYWARE GUIDE”, http: //www.shareedge.com/spywareguide/ [5] 与 那 原 亨 , 大 谷 尚 通 , 馬 場 達 也 , 稲 田 勉 , "ト ラ フ ィ ッ ク 解 析 に よ る ス パ イ ウ ェ ア 検 知 の 一 考 察 ", 第 30 回 コ ン ピ ュ ー タ セ キ ュ リ テ ィ 研 究 会 , 情 報 処 理 学 会 研 究 報 告 , Vol.2005, No.70, 2005-CSE C-30, pp.23-29, 2005 年 7 月 発 行 . [6] Stephen Thomas, 葛 西 重 夫 , “HTTP プ ロ ト コ ル ”, ソ フ ト バ ン ク パ ブ リ ッ シ ン グ , pp.303-314, 20 02. [7] Network Working Group, “RFC2616: Hypertext Transfer Protocol -- HTTP/1.1”, The Interne t Engineering Task Force, http://www.ietf.o rg/rfc/rfc2616.txt 各端末上の対策ソフトの状態に依存せず,インタ −18− -6-