マルウェア感染サイトへの誘導は39.2％が検索エンジンから - ブルーコート調査

不正サイトへ誘導し、マルウェアへ感染させる「ドライブバイダウンロード攻撃」において、検索エンジンが悪用されるケースが約4割に上ることが、ブルーコートシステムズの調査により判明した。

Chris Larsen氏

同社が、1週間あたり30億件の評価を行っているクラウド技術「WebPulse」において、正規サイトより不正サイトに誘導し、マルウェアへ感染させる「マルウェア配信ネットワーク」の状況を調べたもの。

2011年上半期において、不正サイトへ誘導されるきっかけとなるサイトは、「検索エンジン」が39.2％を占めており、SEOポイズニングが活発だった。2位以下に続く「ウェブメール（6.9％）」「アダルトサイト（6.7％）」などを大きく上回っている。

同社が「Shnakule」と名付けた最大規模のマルウェア配信ネットワークでは、1日あたり2000件のホストが稼働し、ピーク時に1日あたり4300件まで上昇した。

「Shnakule」の関係図。赤がマルウェア感染サイト。黄がリンクサイト、緑が正規サイトなど。正規サイトが入り口となり、リンクサイトを通じて危険なサイトへ誘導している

同社でシニアマルウェアリサーチャーを務めるChris Larsen氏によれば、攻撃が多くしかけられる「検索サイト」のなかでも「イメージ検索」の危険性が増しているという。数年前はテキストサーチ中心の攻撃だったが、2011年に入り傾向が変化したと同氏は指摘している。

また同氏は、「攻撃者は、利用者が多いプラットフォームを狙う傾向があり、ユーザー数が増加しているMacユーザーも攻撃対象となりつつある」として注意を呼びかけている。

（Security NEXT - 2011/08/17 ）ツイート