ドライブバイダウンロードとは?特徴と適切な対策について解説
ウイルス対策・不正アクセス対策には多くの種類があり「どれを選べばいいか」迷いますよね。後から知ったサービスの方が適していることもよくあります。導入の失敗を避けるためにも、まずは各サービスの資料をBOXILでまとめて用意しましょう。
⇒ウイルス対策・不正アクセス対策の資料をダウンロードする(無料)
インターネットを利用することはもはや当たり前になっていますが、それに伴いマルウェアや標準型攻撃の被害が出るようになりました。
もしあなたがセキュリティ担当者なら、増え続ける攻撃のパターンやバリエーションに頭を悩ませているはずです。
さらにドライブバイダウンロードという手法が2009年頃から登場してきました。
そこで、ドライブバイダウンロードの概要と特徴、私たち自身ができる有効な対策について解説していきます。
目次を閉じる
- ドライブバイダウンロードとは
- ドライブバイダウンロード攻撃の手法
- 自動型
- 誘導型
- ドライブバイダウンロード攻撃の特徴
- 攻撃の歴史と進化
- 他のマルウェア攻撃との違い
- ドライブバイダウンロードの仕組みと流れ
- 攻撃者が用意するWebサイトの構造
- JavaScriptやActiveXなどを悪用したスクリプト
- ユーザーが感染するまでのステップ
- 自動ダウンロード vs ユーザー誘導型の違い
- 主な感染経路と狙われるユーザー層
- フィッシングサイトや広告を経由したケース
- SNSやメールを悪用したリンクの拡散
- 企業と個人、どちらが狙われやすいか
- ドライブバイダウンロードへの適切な対策
- ソフトを最新のバージョンに保つ
- ウイルスソフトの定義ファイルを最新に保つ
- 管理者権限の付与に気をつける
- FTPパスワードを強固にする
- セキュリティが専門の企業が提供しているサービスを利用する
- ブラウザに実行制限をかけておく
- よくある質問(FAQ)
- 感染したかどうかを確認する方法は?
- 感染した場合はどう対応すれば良い?
- 自宅のPCでも対策は必要か?
- 無料のセキュリティ対策でも十分か?
- ドライブバイダウンロードについて理解して適切な予防策を
- BOXILとは
ドライブバイダウンロードとは
ドライブバイダウンロード(DBD)とは、特定のWebサイトにアクセスした場合などに、ユーザーの知らない間にマルウェアや悪意のあるソフトウェアを一方的にダウンロードさせ、勝手にインストールまでさせてしまうことをいいます。
マルウェアやユーザー環境で不正な挙動をするアプリケーションを秘密裏にDLさせる場合が多く、ユーザーはWebサイトにアクセスしただけでダウンロードさせられてしまいます。
そのため「何が原因なのかわからない」、「マルウェアに侵入されていることにさえ気づかない」場合もあります。
ドライブバイダウンロード攻撃の手法
ドライブバイダウンロード攻撃とは、特殊なプログラムを使って、ユーザーの許可を得ずにマルウェアや不正なアプリケーションをダウンロード・実行させる攻撃です。
主にOSやブラウザ、プラグインなどのぜい弱性を突く手法で、ユーザーの操作なしに感染が始まる点が特徴です。
この攻撃には大きく2つのタイプがあります。
自動型
ブラウザやプラグインのぜい弱性を突いて自動的にマルウェアをダウンロード
誘導型
正規アプリに偽装し、ユーザーを騙してダウンロードさせる
これまで安全だと思っていたサイトにアクセスしたことがきっかけで、気づかないうちにマルウェアに感染していたケースもあるため、注意が必要です。
ドライブバイダウンロード攻撃の特徴
ドライブバイダウンロードは、標準型攻撃と組み合わせて使用されることが多く、「不審なリンク付きのメール」で誘導されるケースが一般的です。
また、攻撃者はすでに改ざん済みの正規Webサイトを使って感染させることもあります。
そのため、普段アクセスしていた安全なサイトであっても、いつの間にかマルウェアに感染してしまう危険があります。
企業のWeb管理者にとっては、自社サイトが無意識のうちに攻撃媒体になってしまうリスクもあるため、定期的なセキュリティチェックが必要です。
攻撃の歴史と進化
ドライブバイダウンロード攻撃は2000年代初頭から確認されており、当初はぜい弱性のあるブラウザやFlash Player、Javaなどのプラグインを悪用した単純な構造でした。
しかし、セキュリティ対策の進化に伴い、攻撃手法も複雑化しています。
近年では、ゼロデイぜい弱性を悪用したり、正規の広告ネットワーク(Ad Network)を経由したマルバタイジング(Malvertising)として仕込まれたりするケースが増加。
攻撃の痕跡を残さないように高度に難読化されたJavaScriptが使われるなど、セキュリティソフトによる検知も困難になっています。
また、近年のドライブバイダウンロードは単体で完結せず、後続のランサムウェア感染やC&C通信による遠隔操作など、複合的なサイバー攻撃の入り口になっている点も見逃せません。
他のマルウェア攻撃との違い
ドライブバイダウンロードの最大の特徴は、「ユーザーの操作を必要としない」点です。
たとえば、メールに添付されたファイルを開く必要がある「マクロウイルス型」や、「偽ソフトのインストールを促すタイプ」のマルウェアは、ユーザーの判断や行動を必要とします。
一方で、ドライブバイダウンロードは、「アクセスするだけで感染が始まる」点で極めて危険です。被害者に気づかせずに侵入し、しかも発見が遅れがちで、企業内部に深く入り込んでしまう可能性が高い点で、被害の深刻さも別格といえるでしょう。
ドライブバイダウンロードの仕組みと流れ
ドライブバイダウンロード攻撃は、無防備なユーザーの行動と、Webの構造的なぜい弱性を悪用して成立します。次のような仕組みで感染が進行します。
攻撃者が用意するWebサイトの構造
攻撃者は、不正なコードを埋め込んだ「罠サイト」を用意するか、正規のWebサイトを乗っ取って改ざんします。
多くの場合、改ざんされたJavaScriptやiframeタグを使って、訪問者を外部のマルウェア配信サイトに誘導します。
とくに、ぜい弱性が残ったCMS(WordPressなど)や、更新されていない業務サイトが標的にされやすい傾向があります。
JavaScriptやActiveXなどを悪用したスクリプト
感染にはJavaScriptやActiveX、Flashなどのブラウザで動作する拡張機能やスクリプトが多く利用されます。
これらは、ユーザーの環境(OS・ブラウザ・インストール済みソフトなど)を調査し、適切なエクスプロイト(ぜい弱性を突くコード)を選択するために使われます。
最近では難読化されたスクリプトを複数階層で組み込むことで、セキュリティ製品の検知をすり抜けるケースも増えています。
ユーザーが感染するまでのステップ
感染の典型的なプロセスは次のとおりです。
- ユーザーが改ざんされた正規サイトや、悪意あるリンクにアクセス
- iframeやJavaScriptによってマルウェア配信サーバーへリダイレクト
- ユーザー環境を調査し、適切なエクスプロイトを選択・実行
- マルウェアを自動的にダウンロード・実行
ユーザーが「許可」や「クリック」などの操作をしなくても、これらの動作が裏で完了してしまいます。
自動ダウンロード vs ユーザー誘導型の違い
ドライブバイダウンロードには大きく分けて2つのタイプがあります。
自動型(drive-by)
ブラウザやプラグインのぜい弱性を突き、ユーザーが気づかないうちにマルウェアを自動的にダウンロード・実行します。
誘導型(social engineering)
偽のアップデート通知や警告画面を表示し、「ソフトを更新してください」と偽ってユーザーにクリックやダウンロードを促します。
自動型は検知や対策が難しく、セキュリティ対策ソフトやOSの保守管理が非常に重要です。一方、誘導型はユーザー教育と注意喚起によってある程度防げます。
主な感染経路と狙われるユーザー層
ドライブバイダウンロード攻撃は、ユーザーがみずから何かをインストールしたりファイルを開いたりすることなく、Web経由で感染する点に特徴があります。この特性により、感染経路は多岐にわたり、日常的なWeb利用の中に巧妙に潜んでいます。
また、攻撃の対象となるユーザー層は特定の業種や属性に限られず、あらゆる企業や個人が標的になり得るため、日々のセキュリティ意識と対策が欠かせません。
フィッシングサイトや広告を経由したケース
代表的な感染経路のひとつが、フィッシングサイトや不正広告(マルバタイジング)を経由するケースです。攻撃者は一見すると安全に見えるWebサイトや広告ネットワークを利用し、改ざんしたJavaScriptやiframeなどを仕込んでおきます。
たとえば、有名メディアサイトに掲載されている広告枠に悪意あるコードが含まれている場合、ユーザーがその広告を表示しただけでマルウェアが自動的にダウンロードされる危険があります。
このように、正規の広告ネットワークを装った攻撃は、見破るのが困難なうえ、感染が拡大しやすいことが特徴です。
SNSやメールを悪用したリンクの拡散
もうひとつの主な感染経路は、SNSやメールを使って不正なリンクを拡散する手法です。攻撃者は魅力的な情報や偽装された緊急メッセージなどを使い、ユーザーに不正なリンクをクリックさせようとします。
とくにSNSでは、「人気アプリの無料配布」「話題の動画」「プレゼントキャンペーン」などを装い、多くの人にリンクを拡散させることで、効率的に感染範囲を広げられます。
メッセージアプリ(LINE、Messengerなど)を通じて拡散されることもあり、信頼関係を悪用した巧妙な誘導が行われています。
企業と個人、どちらが狙われやすいか
ドライブバイダウンロード攻撃の標的は、企業と個人の両方におよびます。ただし、目的や攻撃手法には違いがあります。
企業が狙われる場合、攻撃者は社内ネットワークへの侵入や機密情報の窃取、業務妨害(例:ランサムウェアによるシステム停止)を目的としています。とくにセキュリティ意識が十分でない中小企業や、更新が滞っているWebサイトを持つ企業は格好の標的となります。
一方で個人に対しては、ネットバンキングの認証情報やクレジットカード情報、SNSアカウントなどの窃取が主な目的です。
ターゲットは年齢や職業に関係なく、誰でも感染する可能性があります。
つまり、どの立場であっても「自分は狙われない」と油断することが最も危険です。攻撃は無差別に仕掛けられることが多く、日常的なリスク管理と環境整備が重要となります。
ドライブバイダウンロードへの適切な対策
深刻な被害をもたらすドライブバイダウンロードですが、主に企業のシステム管理者やセキュリティ管理者が行うべき対策として、どのようなことが考えられるでしょうか。
ドライブバイダウンロードの被害を食い止めるための基本的な対策をいくつか紹介します。
ソフトを最新のバージョンに保つ
まず、インターネットの閲覧に関するブラウザおよびそのプラグインソフトを常に最新のバージョンに保っておく必要があります。
たとえば、FlashなどのAdobe製品やJavaなどのプラグインです。今はこういったソフトは自動的に更新通知が来るようになっているため、通知が来た時点ですぐにアップデートしておくとよいでしょう。
とくにぜい弱性を突かれやすいソフトに関しては、定期的にアップデートを確認するようにしてください。
ウイルスソフトの定義ファイルを最新に保つ
Windows Updateや使用しているウイルスソフトの定義ファイルを常に最新の状態にするも基本となる対策です。
これはドライブバイダウンロード対策としてだけでなく、Web上のあらゆる脅威に対処するためには必須といえます。
ウイルスソフトの状態によってはパソコン自体が重くなってしまうこともありますが、たとえそのような状態でも、ウイルスソフトだけは切らないようにすることをおすすめします。なるべく起動した状態でパフォーマンスを上げる対策を考えましょう。
セキュリティソフト自体は絶対に必要なため、必ず入れておくようにしてください。
管理者権限の付与に気をつける
むやみに管理者権限を付与せず、普段は管理者以外のアカウントを用いることも重要です。
そうすることで、たとえ不正プログラムをダウンロードしてしまっても、管理者権限がないためインストールされないといった状態にできます。
メールや文章の作成、ネット検索といった日常の使用には、なるべく管理者権限をもっていないアカウントを使うなどして、適切なリスクヘッジをしておきましょう。
FTPパスワードを強固にする
Webサイト上のコンテンツは、主にFTPアップロードやCMSによって公開されてしまいます。
ドライブバイダウンロードのきっかけとなるWebサイトの改ざんのためは、これらのログイン情報を取得する必要があるため、パスワードをより強固にすることが有効な対策となります。
パスワードの使いまわしは避け、アルファベット文字や記号、数字を組み合わせた適切な長さのパスワードにしておきましょう。定期的に変更することも忘れてはいけません。
セキュリティが専門の企業が提供しているサービスを利用する
自社でサーバーを運用しているのでなければ、なるべくセキュリティ専門会社が提供しているWebサービスを利用することをおすすめします。
そのようなサービスのなかには、自社が管理するサイトが不正な攻撃に使われていないか、あるいは改ざんされていないかといった点について監視してくれるものがあります。積極的に利用するようにしましょう。
ブラウザに実行制限をかけておく
必要に応じてブラウザに実行制限をかけておくことも効果的な対策です。
ブラウザの設定によってJavaScriptを無効にできるため、ドライブバイダウンロードのきっかけとなるプログラムの実行やアクセスしたサイトに埋め込まれた不正プログラムの実行を妨げられます。
万が一に備えてブラウザごとに設定しておくのもよいでしょう。また、ブラウザのセキュリティ設定も最適な状態にすることをおすすめします。
よくある質問(FAQ)
ドライブバイダウンロード攻撃について情報を集める中で、多くの人が抱える疑問や不安があります。
見えにくく、気づきにくい攻撃だからこそ、正しい知識を持っておくことが重要です。とくに問い合わせの多い4つの質問について回答します。
感染したかどうかを確認する方法は?
ドライブバイダウンロードはユーザーの操作を介さずに感染が進行するため、気づかないうちに被害が発生していることも珍しくありません。
次のような兆候が見られる場合、感染の可能性を疑うべきです。
- パソコンやブラウザの動作が急に重くなった
- 覚えのないソフトがインストールされている
- セキュリティソフトが警告を出している
- 通信量が異常に増加している
- サイトアクセス時に不審な広告やリダイレクトが頻発する
正確な確認には、セキュリティソフトでフルスキャンを実施することが基本です。また、不審なプロセスやスタートアップ項目がないか、タスクマネージャーやシステム構成ツールで確認することも有効です。
感染した場合はどう対応すれば良い?
感染が疑われる場合は、迅速な対応が被害拡大を防ぎます。基本的な対応手順は次のとおりです。
- 1.インターネットから切断(無線や有線接続をオフにする)
- 2.セキュリティソフトで完全スキャンを実行
- 3.検出された不正ファイルを削除・隔離
- 4.パスワードや認証情報の変更を実施
感染経路となった可能性のあるサイトやファイルを把握して共有・報告
被害が深刻な場合や復旧が困難な場合は、セキュリティ専門業者に相談することを検討するべきです。企業の場合は、被害状況の記録とあわせて社内報告・CSIRTへの連携も必要です。
自宅のPCでも対策は必要か?
はい、自宅のPCであっても十分な対策が必要です。ドライブバイダウンロード攻撃は、特定のターゲットだけを狙うものではなく、不特定多数のユーザーが標的になります。
とくに家庭用PCでは、次のようなリスクが高まりやすい傾向があります。
- Windows Updateやソフトウェア更新が放置されやすい
- 無料ソフトや違法ダウンロードサイトの利用が多い
- セキュリティソフトがインストールされていない、もしくは期限切れ
これらの状態は、攻撃者にとって「入りやすい環境」です。家庭用であってもOSやブラウザの更新、セキュリティ対策の導入は必須です。
無料のセキュリティ対策でも十分か?
無料のセキュリティソフトは、基本的なウイルス対策機能を備えているものも多く、一定の効果は期待できます。しかし、ドライブバイダウンロードのように複雑で高度化する攻撃に対しては、次のような懸念点もあります。
- ゼロデイ攻撃への対応が不十分
- 有料製品に比べて検出精度や機能が限定的
- フィッシングやマルウェア配布サイトのリアルタイムブロックが弱い
- サポート体制がない/不安定
家庭用途や最低限の防御策として利用することは可能ですが、企業や業務利用を想定するなら有料の総合セキュリティ製品の導入を強く推奨します。
ドライブバイダウンロードについて理解して適切な予防策を
近年、深刻な被害をもたらしてきたドライブバイダウンロードについて、基本的な説明から被害事例、そして有効な対策について解説してきました。
残念ながら、私たちはアクセスした先のサイトが絶対に100%安全なのかを見極める方法がありません。そのため、ドライブバイダウンロードに対しては事前に予防策を立てておく以外にできることはないのが現状です。
日ごろから基本的となるセキュリティ対策は必ずしておきましょう。それによってセキュリティホールになる要素を潰しつつ、いざというときのためにセキュリティ意識を高めておきましょう。
BOXILとは
BOXIL(ボクシル)は企業のDXを支援する法人向けプラットフォームです。SaaS比較サイト「BOXIL SaaS」、ビジネスメディア「BOXIL Magazine」、YouTubeチャンネル「BOXIL CHANNEL」を通じて、ビジネスに役立つ情報を発信しています。
BOXIL会員(無料)になると次の特典が受け取れます。
- BOXIL Magazineの会員限定記事が読み放題!
- 「SaaS業界レポート」や「選び方ガイド」がダウンロードできる!
- 約800種類のビジネステンプレートが自由に使える!
BOXIL SaaSでは、SaaSやクラウドサービスの口コミを募集しています。あなたの体験が、サービス品質向上や、これから導入検討する企業の参考情報として役立ちます。
BOXIL SaaSへ掲載しませんか?
- リード獲得に強い法人向けSaaS比較・検索サイトNo.1※
- リードの従量課金で、安定的に新規顧客との接点を提供
- 累計1,200社以上の掲載実績があり、初めての比較サイト掲載でも安心
※ 日本マーケティングリサーチ機構調べ、調査概要:2021年5月期 ブランドのWEB比較印象調査
