HTML5 を悪用する脅威、「ブラウザ型ボットネット」とは

2013年7月27日から 6日間、米国ラスベガスでセキュリティカンファレンス「Blackhat」が開催されました。同カンファレンスにおいて、「browser-based botnets(ブラウザ型ボットネット)」についてのリサーチが発表されましたが、これは、トレンドマイクロが 2011年11月末に公開した「HTML5」の悪用に関するリサーチペーパでも言及しています。このブラウザ型ボットネットでもっとも重要な点は、ただのオンライン広告が「分散型サービス拒否(DDoS)攻撃」といった厄介な脅威に誘導してしまうことです。

同カンファレンスでブラウザ型ボットネットについて発表した Jeremiah Grossman氏および Matt Johansen氏は、このボットネットを経由して大規模な DDoS攻撃が実行されてしまう恐れがあると、概要で説明しています。このボットネットを操作する攻撃者にとって必要なことは安価な偽オンライン広告に注力することだけで、これにより問題のボットネットを生成することが可能となります。というのも、Webサイト上の広告専用ネットワークにより JavaScript が実行可能となることから、攻撃者は、不正な JavaScript を作成して、何百何千ものユーザを狙った Webサイトに同時にアクセスさせることができるのです。これは、標的となった Webサイトがアクセスできなくなるようにするには十分だと考えられます。現在、Webサイト上には常に広告が掲載されており基本的に Webサイト運営に欠かせないことから、こうした攻撃シナリオが実行されてしまう可能性は非常に高いと言えるでしょう。

トレンドマイクロは、2011年、上述のような脅威状況を調査し、その際、HTML5 を用いたブラウザ型ボットネットの脅威の可能性についての調査も実施しており、リサーチペーパ「HTML5 OVERVIEW – A Look At HTML5 Attack Scenarios(英語情報)」を公開しました。このペーパでは、HTML5 の改良点および攻撃者がどのようにこの改良点を悪用するかを解説し、特に、攻撃者が異なる OS のシステム上でボットネットを作成することを言及しています。そして、これら OS には、モバイル端末の OS も含まれます。ボットネットは、メモリ上で起動することから、従来型のセキュリティ製品による検出が困難となります。

このペーパでは、攻撃者がどのように彼らの攻撃において HTML5 を悪用するのか、以下のようなキーとなる重要な点について言及しています。

  • ブラウザ型ボットネットは、従来のボットネットと比べて、それほど持続的でないと考えられます。というのも、不正なコードは、ユーザがブラウザのタブを閉じることで停止するからです。この点を考慮すると、攻撃者は、「クロスサイトスクリプティング(XSS)」や Webサイト改ざん、あるいは、クリックジャッキングや「Tabnabbing(タブナビング)」の組み合わせ、インタラクティブゲームを装う偽ページといった手法も引き続き利用すると考えられます。
  • HTML5 の悪用は、DDoS攻撃に加えて、スパムメール攻撃、ビットコイン生成、フィッシング攻撃、社内ネットワークの偵察、プロキシネットワークの悪用、XSS攻撃を経由したワーム拡散、SQLインジェクション攻撃に誘導すると考えられます。

このHTML5 の悪用は、攻撃者が標的とする組織に侵入する際や攻撃を仕掛ける際に用いられる手法となります。「コンシューマライゼーションの時代」や「Internet of Everything の時代」と言われる現在、インターネット接続可能の端末やアプライアンスが増加している状況において、ブラウザやアプリは、たとえ最低限の機能を備えたブラウザであっても、オンラインに接続するための基本的な手段となっています。こうした現況を考慮すると、ブラウザ型ボットネットという存在は、憂慮すべき脅威と言えるでしょう。また、2013年8月7日(米国時間)、米Amazon がモバイル端末専用のアプリストアで HTML5アプリケーションの受け付けを開始するなど、今後の HTML5 利用拡大が見込まれる中、弊社はブラウザ型ボットネットといった HTML5 を悪用する脅威が近い将来現実のものとなると予測します。

こうした攻撃を防御するためには、上述のような脅威やリスクについて十分に理解することが大切です。特に、各企業や組織においては、日常の業務や重要な情報を保護するためにも、社員や組織の従事者に対する教育が重要となってきます。HTML5 に関連する脅威については、以下のリサーチペーパ(英語情報)をご参照ください。

参考:

  • 「HTML5 Overview: A Look At HTML5 attack Scenarios」
      http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/reports/rpt_html5-attack-scenarios.pdf

    • 参考記事:

  • The Reality of Browser-Based Botnets
     by Robert McArdle (Senior Threat Researcher)

    •  翻訳:船越 麻衣子(Core Technology Marketing, TrendLabs)

    Related posts:

    1. 2013年第1四半期のセキュリティ動向:「ソーシャル」、「クラウド」、「非Windows」
    2. 2012年第1四半期のセキュリティ動向を振り返る: キーワードは「モバイル」
    3. 2013年第 2四半期のセキュリティ動向:「サーバ」、「モバイル」、「人」の脆弱性
    4. 2013年第3四半期のセキュリティ動向:止まらないオンライン詐欺の猛威