2017/09/13

JavaScript マルウェアからの保護

matrix code
2017 年 9 月 13 日 編集部記事

ウォッチガードのインターネットセキュリティレポートから、不正 JavaScript が何四半期も連続で、ウォッチガードの Firebox UTM アプライアンスでブロックされたマルウェアの大半を占めていることがわかりました。事実、最も多いマルウェアの 10 位以内に、JavaScript で書かれたものがいくつも入っています。ウォッチガードの脅威アナリストの 1 人である Marc Laliberte が、Third Certainty の最近のコラムでこの件を取り上げ、JavaScript マルウェアのしくみと組織における対策を解説しました。

この記事で彼は、ファイアウォールでこれほど多くの JavaScript マルウェアが検知されている点に注目し、「ドロッパ」の作成で JavaScript が使用されることが多い理由を説明しています。これらのプログラムは、標的システムを感染させた後に、実際のマルウェアペイロードをそのシステムにダウンロードし、実行します。これを検知するのは簡単ですが、ドロッパがシグネチャベースのソリューションに検知されないようにする目的で、コードが難読化されていることが少なくありません。幸いにも、JavaScript ドロッパの対策は難しいものではありません。Marc の記事から、ユーザ教育を利用した JavaScript マルウェア対策について説明している抜粋し、以下にご紹介します。

「幸いにも、ほんの少しのユーザ教育によって、(難読化された JavaScript ドロッパ)からの保護が可能です。ドロッパはすべて、被害者となるユーザとのやりとりを必要とします。クリックしてスクリプトを実行しない限り、被害者になることはありません。電子メールの添付ファイル、特に身に覚えのないメールに注意する必要があることをユーザに教育することで、JavaScript ベースのマルウェアから従業員と会社の保護が大きく前進することが期待されます。」

Marc はさらに、多層型セキュリティアプローチがシステムの保護に役立つと説明しています。そして、スパム対策ソリューションに加えて、挙動ベースのシグネチャベースの両方のマルウェア検出ソリューションを利用することで、標的システムの保護が強化されます。これらすべてを一緒に使用することで、強固な JavaScript マルウェア対策が実現します。

詳細は、Third Certainty に掲載された Marc の記事全文(英文)をお読みいただき、JavaScript マルウェアについての詳細については、Secplicity の記事を参照してください。