ブルーコートシステムズは、1日限定でサイトに潜むマルウェアの脅威に関する調査レポートを発表した。
急速に出現・消失するサイトの性質や動き、Web上での活動目的地を調査・検証することで、そのセキュリティリスクについて理解を深めることを目的に、ブルーコートセキュリティラボによって実施した。
90日の期間にわたって、世界の7500万人のユーザーによって要求された6億6000万以上の固有のホスト名を詳しく調査し、分析したすべてのホスト名の71%に当たる4億7000万が、1日で姿を消す「1 日限定サイト」であることが明らかになした。
これらの一日限定サイトの大部分がインターネットコンテンツの共有・配信のバックボーンとなっているとしている。
莫大な数の1日限定サイトは、ウィルス感染したシステムへの通信といった悪意ある攻撃の隠れみとして利用されているとう。
1日限定サイトの最大の発生元として、Google、Amazon、Yahoo、コンテンツ配信の高速化をサポートするWeb最適化企業などの、インターネットにおいて重要な存在となっている企業を特定している。
ブルーコートは、ある一定時期、最も多くの1日限定サイトを生み出すトップテンのうち一つが、インターネットで最も人気のポルノサイトであることを特定した。
1日限定サイトを最も多く使ったトップ50のドメインのうち、22%は悪意で、これらのドメインは、「新しくて未知」な短命サイトをうまく活用することで、セキュリティソリューションを回避しながら、攻撃の実行や、ボットネットの管理を行う。
例えば、ダイナミックコマンドの構築、スケーラブルで追跡が難しく、実装が容易なアーキテクチャの制御に使うことができ、スパムまたはWebフィルタによる検出を避けるため、各迷惑メールに固有のサブドメインを作成するために利用が可能という。
同社の研究によると、ほとんどの1日限定サイトがインターネット上の合法的活動にとって極めて重要で、悪意のないものである一方で、膨大な数の1日限定サイトは、悪意のある攻撃を助長する環境を作り出しているという。
新しい未知のサイトを瞬時に構築しそれを壊す行為は、既存の多くのセキュリティ対策を不安定にし、これらのサイトの正体と、それがどのように使われるのかを理解することは、より優れたセキュリティ環境構築のカギとなる。
■セキュリティレポート「One-day Wonders: How Malware Hides Among the Internet’s Short-lived Websites」(英語版)
http://dc.bluecoat.com/2014_OneDayWonders_report_Download
