Technology
テクノロジー
新たな対策技術:URL フィルタリングと Web レピュテーション
これまで3回にわたって不正プログラム自体を直接的に検出する方法について説明してきました。今回は間接的な不正プログラム対策としての「URLフィルタリング」と「Webレピュテーション」について説明します。
「URL フィルタリング」とは Web ページのコンテンツ(内容)を条件に Web サイトの閲覧の可否をコントロールする技術です。一方、「Web レピュテーション」は Web ページの危険度評価からアクセスをコントロールする技術です。これらの技術は不正プログラム対策に応用され、従来のパターンマッチングを中心とした対策技術を補完する役割を担っています。
まず、いずれの手法であれ Web アクセスをコントロールする一般的な仕組みは非常に単純です。ブラウザなどからアクセスされる URL の文字列をフィルタリング用データベースに登録された URL と照合し、結果によってアクセスを制限します。仕組みとしてブラックリスト方式とホワイトリスト方式がありますが、データベースに登録されている URL に対するアクセスをブロックするブラックリスト方式が一般的です。ホワイトリスト方式は逆でデータベースに登録されている URL に対してのみアクセスを許可します。
URL フィルタリングにおいては、このデータベースが Web のコンテンツによってカテゴリ分けされています。アダルト、酒、ギャンブル、ゲーム、ショッピング、Web メール、といった具合です。例えば、会社で就業中に業務とは関係の無いと考えられるコンテンツが含まれる Web サイトを閲覧することを禁じたり、未成年のユーザーには有害と考えられるコンテンツを含む Web サイトにはアクセスさせない、といった目的で本来は使用されてきたものです。
しかし、インターネット経由での攻撃が増加するにつれ、不正プログラムの感染源となる Web サイトへのアクセスをブロックすることの有効性がクローズアップされ、URL フィルタリング技術は不正プログラム対策にも有用であると考えられるようになりました。背景には、2006年後半に猛威をふるった「STRATION(ストレーション)」ワームの登場以降の「Web からの脅威」による攻撃の定番化があります。Web からの脅威による感染は、スパムメールや改竄された正規 Web サイトから不正プログラムの感染源となる Web サイトへ誘導され、Web サイト経由で不正プログラムがダウンロードされ侵入してしまうケースが代表的です。そしてこの侵入した不正プログラムがまたインターネット上の別の Web サイトへアクセスし、新しい不正プログラムをダウンロードします。これによって複合感染へと被害が拡大し、駆除処理を困難にさせるとともに、被害の長期化にも繋がってしまうのです。
このような実際の被害への対応の中で、侵入経路としての Web アクセスを遮断することが対策として非常に効果があることが実証されました。パターンファイルによる検出が未対応である新種・亜種の不正プログラムであっても、そもそもの侵入経路を遮断することによって侵入と感染を防げますので、結果的に被害の拡大を防ぎ、駆除の対処も容易になります。
そして URL フィルタリング機能をより不正プログラム対策に特化させた形で発展させた技術として登場したのが「Web レピュテーション」です。レピュテーション(Reputation)とは「評価」や「評判」という意味であり、Web サイトの危険度を採点した評価値を参照して対応を判断する方法です。Web サイトに含まれるコンテンツのカテゴリ分けによりアクセスコントロールを行う URL フィルタリング機能に対し、Web レピュテーションではある URL の危険度を評価する方式でブロックを行います。インターネット上に何百億とある Web サーバー(ドメインや Web ページまで)を危険度により評価付けし、危険性の高い Web サイトへの接続を制御・抑制することにより、Web からの脅威に効果的に対抗するわけです。
URL フィルタリングのカテゴリはその Web サイトがどのようなコンテンツを含んでいるかでカテゴリ分けが行われますが、Web レピュテーションではあくまでもその Web サイトの危険度を評価します。Web レピュテーションの評価方法には様々なものがありますが、基本的にはその Web サイトの運用状況が基準となります。例えば、一般的な信用ある Web サイトは自ずとある特定の1か所で長期間運用されている運用状況になります。しかし不正な目的で設置されている Web サイトの場合には1か所での運用時間が短く、運用サーバーが所在する国を転々と変えるなど安定性に欠ける状況が多く見られます。信頼のおける Web サイトが不正な Web サイトへのリンクを持つことはほとんどありませんが、不正な Web サイトは別の不正な Web サイトとリンクされていることが多くなります。また、不正プログラムをホストしている Web サイトは、当然不正な Web サイトである可能性も高いでしょう。
このように Web レピュテーションでは Web サイトの運用状況を総合的に採点し、その評価情報に応じて処理を行います。評価を数値化することにより、ユーザーの求めるセキュリティレベルに応じてブロックする程度を変えることも可能となります。トレンドマイクロではこの評価をページ単位でも行っており、正規 Web サイトが改竄によって危険な状態になった場合も改竄されたページやリダイレクト先のページのみをブロックし、ドメイン全体にアクセス拒否がおよぶ可能性は少なくなっています。
Web レピュテーション技術をより効果的なものにするためにはクラウドの利用が重要です。トレンドマイクロではレピュテーションのためのデータベースをクラウド上に置き、評価もクラウド上で自動的に行うシステムを構築しています。これによって利用者に対してより素早い評価の反映と提供が行えます。不正プログラム脅威の登場スピードは年々速まっており、2009年には2.5秒に1個の不正プログラムが登場しています。クラウドを使用した Web レピュテーションはまさにこのような脅威の状況に対応するためのソリューションと言えます。
「URL フィルタリング」とは Web ページのコンテンツ(内容)を条件に Web サイトの閲覧の可否をコントロールする技術です。一方、「Web レピュテーション」は Web ページの危険度評価からアクセスをコントロールする技術です。これらの技術は不正プログラム対策に応用され、従来のパターンマッチングを中心とした対策技術を補完する役割を担っています。
まず、いずれの手法であれ Web アクセスをコントロールする一般的な仕組みは非常に単純です。ブラウザなどからアクセスされる URL の文字列をフィルタリング用データベースに登録された URL と照合し、結果によってアクセスを制限します。仕組みとしてブラックリスト方式とホワイトリスト方式がありますが、データベースに登録されている URL に対するアクセスをブロックするブラックリスト方式が一般的です。ホワイトリスト方式は逆でデータベースに登録されている URL に対してのみアクセスを許可します。
URL フィルタリングにおいては、このデータベースが Web のコンテンツによってカテゴリ分けされています。アダルト、酒、ギャンブル、ゲーム、ショッピング、Web メール、といった具合です。例えば、会社で就業中に業務とは関係の無いと考えられるコンテンツが含まれる Web サイトを閲覧することを禁じたり、未成年のユーザーには有害と考えられるコンテンツを含む Web サイトにはアクセスさせない、といった目的で本来は使用されてきたものです。
しかし、インターネット経由での攻撃が増加するにつれ、不正プログラムの感染源となる Web サイトへのアクセスをブロックすることの有効性がクローズアップされ、URL フィルタリング技術は不正プログラム対策にも有用であると考えられるようになりました。背景には、2006年後半に猛威をふるった「STRATION(ストレーション)」ワームの登場以降の「Web からの脅威」による攻撃の定番化があります。Web からの脅威による感染は、スパムメールや改竄された正規 Web サイトから不正プログラムの感染源となる Web サイトへ誘導され、Web サイト経由で不正プログラムがダウンロードされ侵入してしまうケースが代表的です。そしてこの侵入した不正プログラムがまたインターネット上の別の Web サイトへアクセスし、新しい不正プログラムをダウンロードします。これによって複合感染へと被害が拡大し、駆除処理を困難にさせるとともに、被害の長期化にも繋がってしまうのです。
このような実際の被害への対応の中で、侵入経路としての Web アクセスを遮断することが対策として非常に効果があることが実証されました。パターンファイルによる検出が未対応である新種・亜種の不正プログラムであっても、そもそもの侵入経路を遮断することによって侵入と感染を防げますので、結果的に被害の拡大を防ぎ、駆除の対処も容易になります。
そして URL フィルタリング機能をより不正プログラム対策に特化させた形で発展させた技術として登場したのが「Web レピュテーション」です。レピュテーション(Reputation)とは「評価」や「評判」という意味であり、Web サイトの危険度を採点した評価値を参照して対応を判断する方法です。Web サイトに含まれるコンテンツのカテゴリ分けによりアクセスコントロールを行う URL フィルタリング機能に対し、Web レピュテーションではある URL の危険度を評価する方式でブロックを行います。インターネット上に何百億とある Web サーバー(ドメインや Web ページまで)を危険度により評価付けし、危険性の高い Web サイトへの接続を制御・抑制することにより、Web からの脅威に効果的に対抗するわけです。
URL フィルタリングのカテゴリはその Web サイトがどのようなコンテンツを含んでいるかでカテゴリ分けが行われますが、Web レピュテーションではあくまでもその Web サイトの危険度を評価します。Web レピュテーションの評価方法には様々なものがありますが、基本的にはその Web サイトの運用状況が基準となります。例えば、一般的な信用ある Web サイトは自ずとある特定の1か所で長期間運用されている運用状況になります。しかし不正な目的で設置されている Web サイトの場合には1か所での運用時間が短く、運用サーバーが所在する国を転々と変えるなど安定性に欠ける状況が多く見られます。信頼のおける Web サイトが不正な Web サイトへのリンクを持つことはほとんどありませんが、不正な Web サイトは別の不正な Web サイトとリンクされていることが多くなります。また、不正プログラムをホストしている Web サイトは、当然不正な Web サイトである可能性も高いでしょう。
このように Web レピュテーションでは Web サイトの運用状況を総合的に採点し、その評価情報に応じて処理を行います。評価を数値化することにより、ユーザーの求めるセキュリティレベルに応じてブロックする程度を変えることも可能となります。トレンドマイクロではこの評価をページ単位でも行っており、正規 Web サイトが改竄によって危険な状態になった場合も改竄されたページやリダイレクト先のページのみをブロックし、ドメイン全体にアクセス拒否がおよぶ可能性は少なくなっています。
Web レピュテーション技術をより効果的なものにするためにはクラウドの利用が重要です。トレンドマイクロではレピュテーションのためのデータベースをクラウド上に置き、評価もクラウド上で自動的に行うシステムを構築しています。これによって利用者に対してより素早い評価の反映と提供が行えます。不正プログラム脅威の登場スピードは年々速まっており、2009年には2.5秒に1個の不正プログラムが登場しています。クラウドを使用した Web レピュテーションはまさにこのような脅威の状況に対応するためのソリューションと言えます。
記事提供:トレンドマイクロ
New Topics
Special Ad
| “超高速無線 LAN 時代”の幕開け--新規格 11ac(Draft)に対応したバッファロー最新ルーターの潜在能力を試す | |
 |
バッファローは次世代無線 LAN 規格 IEEE802.11ac(Draft)通信速度最大 1,300Mbps 対応無線 LAN ルーター「WZR-1750DHP」を3月下旬に販売開始。今回、同機器を入手できたので、使用感や便利な機能についてレポートしたい。⇒詳細記事へ |
Hot Topics
IT Job
今週のIT求人情報
その他 IT求人情報はこちら
Interviews / Specials
Follow japan.internet.com
Popular
Access Ranking
Partner Sites