ドライブバイダウンロードとは、ユーザーがWebサイトを閲覧することで、自動的にマルウェアをダウンロードし、インストールさせる攻撃手法です。攻撃者がマルウェアを埋め込んだWebサイトを閲覧することで、ユーザーは意図せずマルウェアに感染してしまいます。

ドライブバイダウンロードは攻撃者の用意した不正なWebサイトだけでなく、他の企業が運営する「正規Webサイト」を改ざんして、マルウェアが仕込まれるケースもあります。

攻撃に自社サイトが悪用されれば信用低下やサービスの停止を招くリスクもあり、利用者だけでなく、サイト運営者側によるドライブバイダウンロード対策が必要です。

本記事ではドライブバイダウンロードの仕組みやその攻撃手法、対策について説明します。

また、知っておきたい「最新のマルウェア手口」についてまとめたホワイトペーパーをご用意しました。ぜひあわせてご活用ください。

ドライブバイダウンロードとは

ドライブバイダウンロードとは、ユーザーがWebサイトを閲覧するか、あるいは正規と見せかけた悪意のある広告をクリックした際、自動的にマルウェアをダウンロード・インストールさせるサイバー攻撃の一種です。

▼ドライブバイダウンロード攻撃のイメージ

▼ドライブバイダウンロードの流れ
1．攻撃者が脆弱性のあるWebサイトを見つけ、改ざんする
2．ユーザーがWebサイトを訪問
3．不正なプログラムが実行（攻撃者が用意したサイトに遷移することも）
4．ユーザーの端末にマルウェアがダウンロード、インストールされる

攻撃者は正規のWebサイトにて管理者権限を盗み、サイトを改ざんすることでドライブバイダウンロードを仕掛けます。普段から利用している有名サイトや、大手企業のホームページに攻撃が仕掛けられることもあり、ユーザーが感染しても気づきづらいという厄介な特徴があります。

またドライブバイダウンロードは、OSやアプリケーション・ソフトウェアの「脆弱性」を突いて行われる攻撃です。脆弱性とは、設計・構造上の欠陥やバグのことで、セキュリティホールとも言います。

攻撃者はこの「脆弱性」につけこみ、不正なスクリプトを実行することで、自動的にマルウェアをインストールさせます。ドライブバイダウンロードを防ぐためには、OSやアプリケーションの脆弱性を、常日頃から解消することが必要不可欠です。

ドライブバイダウンロードの攻撃手法

ドライブバイダウンロードの「攻撃手法」は主に

1．Webサイト
2．広告

どちらかが用いられます。

1. Webサイトを改ざんする

1つ目は、正規のWebサイトの一部を改ざんすることで、マルウェアを仕掛ける方法です。

まず攻撃者はドライブバイダウンロード攻撃の起点となる、脆弱性を含んだWebサイトを探します。

起点となるWebサイトを見つけたら、その脆弱性を突いて

・Webサイトのデータを書き換える
・不正なプログラムを仕込んだ別サイトに誘導する

といった改ざんを行い、閲覧者のデバイスが自動でマルウェアに感染する仕組みを構築します。

改ざんされてもWebサイトの見た目は変わらないので、ユーザーはドライブバイダウンロード攻撃に気づかず、サイトを訪問しマルウェアをダウンロードしてしまいます。

2. バナー広告を利用する

2つ目はバナー広告を改ざんすることで、閲覧者にマルウェアをダウンロードさせる方法です。

Webサイトの改ざんと同様、攻撃者が広告を制作している企業へと侵入し、広告を改ざんすることで発生します。

ユーザーはWebサイトに訪問し、表示された広告バナーをクリックする・もしくは広告バナーを閲覧するだけで、不正プログラムが自動的にダウンロードされてしまいます。

ドライブバイダウンロードはなぜ危険なのか？

ドライブバイダウンロードが危険視されている主な理由として

1．勝手にマルウェアがダウンロードされるため、攻撃に気づきづらいこと
2．大手や公的機関のWebサイトでも、感染の可能性があること
3．「トロイの木馬」との併用により、さらに悪質化する可能性があること

の3つがあげられます。

1. マルウェアのダウンロード・インストールが、ユーザーの知らないうちに完了してしまう

ドライブバイダウンロードでは、改ざんされたWebサイトにアクセスするだけで、ユーザーの意思に関係なくマルウェアが勝手にダウンロード・インストールされてしまいます。

そのため気づかないうちに被害に遭い、対策が遅れることによって、気づいた頃には被害がさらに拡大している恐れがあります。

2. 大手企業や公的機関のWebサイトでも、被害にあう危険性がある

ドライブバイダウンロード攻撃の被害にあわないためには、改ざんされたWebサイトにアクセスしないことが重要になります。

しかし怪しいWebサイトだけでなく、誰もが知っているような大手企業のWebサイト・よく利用する通販サイトなどに攻撃が仕掛けられるケースも多く、完全にWebサイトの閲覧を回避することは現実的ではありません。

過去には、公的機関や大手鉄道会社のWebサイトが改ざんされ、マルウェアが仕込まれていたケースが報告されています。

3. トロイの木馬によって悪質化する

トロイの木馬とはマルウェアの一種で、無害なプログラムを装って端末に侵入する潜伏型の脅威を指します。トロイの木馬は端末に侵入後「一定期間潜伏したのちに動作する」という特徴を持っています。

この特性は「ユーザーに気づかれずマルウェアに感染させる」というドライブバイダウンロードと相性が非常に良いことから、攻撃者はしばしばトロイの木馬を用いたドライブバイダウンロード攻撃を仕掛けます。

トロイの木馬に感染すると、コンピューターが攻撃者によって遠隔操作されたり、認証情報や機密情報が盗み見られたり、他のマルウェアに感染させられたり、といった様々な被害リスクが想定されます。

ドライブバイダウンロードと水飲み場攻撃の違い

ドライブバイダウンロードとよく似た攻撃に「水飲み場攻撃」というものがあります。
水飲み場攻撃とは、特定の企業・個人がよくアクセスしているWebサイトを改ざんし、Webサイトをアクセスした際に自動的にマルウェアをダウンロード・インストールさせる攻撃手法です。

水飲み場で獲物を待ち伏せて襲う「肉食動物の狩り」に手法が似ていることから、この名称がつけられました。

「Webサイトを改ざんして、ユーザーの意思に関係なくマルウェアをダウンロードさせる」という点で両者は同じ手口を使用していますが、異なるのは「攻撃を仕掛ける対象」です。水飲み場攻撃は特定の企業・個人を狙った「標的型攻撃」である一方、ドライブバイダウンロードは不特定多数を狙った攻撃と言えます。

あらかじめ特定の企業・組織にターゲットを定めて行われる「水飲み場攻撃」は、より綿密な調査と計画に基づいて、明確な目的をもって実行されます。

ドライブバイダウンロードの被害事例

ここでは過去に日本で報告された、ドライブバイダウンロードの被害事例を２つ紹介します。

1. 大手鉄道会社のWebサイトが改ざん

大手鉄道会社が運営するWebサイトが、海外からの不正アクセスによって改ざんされ、マルウェアが仕込まれる事件が発生しました。Webサイトにユーザーが訪問すると、Gumblarウイルスの亜種に感染するページにリダイレクトするという仕組みです。

※Gumblarウイルス…Webサイトの改ざんおよびサイト閲覧者をマルウェアに感染させるウイルス。感染すると、個人情報が盗まれる可能性がある。

Webサイトには改ざん後、約5万件のアクセスがあり、アクセスしたユーザーにはウイルスチェックを行うよう呼びかけられました。鉄道会社はWebサイトの機能を一時停止し、その後Webサイトは無事に復旧されました。

2. アップロードサービス改ざん、ファイルにマルウェアが混在

ネット上で「コンテンツの高速配信サービス」を提供する企業にて、サーバーが改ざんされる事件がありました。原因は、特定のパソコン端末を経由した不正アクセスであったとのことです。

事件の発端となったサービスは、オリジンサーバー（顧客に配信するコンテンツを保管するためのサーバー）に配信したいコンテンツをアップロードすることで、エッジサーバーにコンテンツがコピーされるという仕組みでした。

本事件では攻撃者が何らかの方法でエッジサーバーに不正なコンテンツをアップロードし、オリジンサーバーを改ざん。サーバーに保管していたコンテンツも改ざんされ、当該サービスを利用していた複数のサイトで「閲覧するとウイルスに感染する」といった被害となりました。

ドライブバイダウンロードへの対策（サイトの運営者側）

冒頭で述べたように、ドライブバイダウンロードでは「サイトの運営者側」「利用者側」の双方が、それぞれ適切な対策を行うことが重要です。

まずは「Webサイト運営者」が実施できる、ドライブバイダウンロードへの対策を2つ紹介します。

1.FTPやCMSの認証を強化する
2.Webサイトやアプリケーションの脆弱性診断を受ける

1．FTPやCMSの認証を強化する

ドライブバイダウンロードは、Webサイトを更新する際に利用するFTPやCMSの脆弱性を突いて攻撃を仕掛けられるケースが多いため、これらの認証を強化することが、有効なセキュリティ対策となります。

※FTP…ネットワーク経由でファイルを転送するための通信プロトコル。Webサイトを公開する際には、画像やテキストといったファイルをFTPでサーバーに転送する必要がある。

※CMS…HTMLやCSSといった専門スキルがなくても、Webサイトやコンテンツの構築・管理・更新ができるツール。

FTPやCMSの認証を強化する方法として、第三者に推測されにくいパスワードを使用するのはもちろん、多要素認証（二段階認証）の導入なども効果的です。

またCMSは常に最新のバージョンに保つことで、過去に報告された脆弱性が修正され、攻撃リスクを軽減することができます。

2．Webサイトやアプリケーションの脆弱性診断を受ける

脆弱性診断とは、OSやWebアプリケーションに潜む「脆弱性」をチェックし、改善を図る施策のことです。

脆弱性診断を行うことで脅威のターゲットとなる脆弱性を洗い出せるので、効率的かつ着実に、サイバーセキュリティ上の欠陥へ対策することが可能です。ドライブバイダウンロードの要因にも、速やかにアプローチすることができるでしょう。

LANSCOPE プロフェッショナルサービスでも、貴社のアプリケーション・Webサイトを診断する「Webアプリケーション脆弱性診断」を提供しています。セキュリティのスペシャリストがきめ細かい診断を行い、Webアプリケーションの脆弱性を明らかにし、有効な対策案を提案します。

ドライブバイダウンロードへの対策（ユーザー側）

続いて、Webサイトを閲覧するユーザーが実施できる、3つの対策について紹介します。

1.OSやアプリケーションは常に最新の状態にしておく
2.アンチウイルスソフトを導入する
3.EDRを導入する

1. OSやアプリケーションは常に最新の状態にしておく

ドライブバイダウンロードは、WebサイトやOS、アプリケーションの脆弱性を突いて攻撃を仕掛けられるため、脆弱性を放置しないことが非常に重要です。

OSやアプリケーションを最新の状態にすることでパッチが適用され、過去に報告された脆弱性が改善されます。アップデート配信があれば、都度適用し最新の状態に保つよう心がけましょう。

OSやアプリケーションのサービスが終了し、アップデート配信が停止する場合は、代替ツールの使用を検討するようにしてください。

2．アンチウイルスソフトを導入する

ドライブバイダウンロードは、マルウェア感染によってユーザーに危害をもたらします。マルウェアのダウンロードを完全に防ぐことは難しいため、あらかじめ「アンチウイルス」を導入することで、マルウェアの侵入を防ぐことが可能です。

このとき従来のパターンマッチング式ではなく、未知・亜種のマルウェアも侵入前に検知できる、高精度な検知方法を用いたアンチウイルスを導入しておくと、更に高い効果が期待できるでしょう。

LANSCOPE サイバープロテクションでは、あらゆるマルウェアの検知・ブロックが可能な「業界最高峰のAIアンチウイルス」を提供しています。

3. EDRを導入する

アンチウイルスの導入に加え、マルウェア対策に有効なソリューションに「EDR」があります。

EDRとは、Endpoint Detection and Responseの略称で、エンドポイント（PCやモバイル端末）を監視し、侵入したマルウェアを速やかに検知・対応するためのセキュリティシステムです。

万一、ドライブバイダウンロードによってマルウェアが端末に侵入したとしても、EDRを入れておくことで、侵入した後の脅威に隔離や駆除といった対処が行えるようになります。

エンドポイントはアンチウイルスとEDRを併用することで、より強固なセキュリティ体制を構築することが可能です。LANSCOPEサイバープロテクションでは、アンチウイルスとセットで導入できる、運用負荷の少ないEDR「CylanceOPTICS」を提供しています。

ドライブバイダウンロード対策ならLANSCOPE サイバープロテクションにお任せ

ドライブバイダウンロードによるマルウェア感染を防ぐためには、日頃から高精度なエンドポイントセキュリティ（アンチウイルスやEDR）を導入し、感染対策を行うことが重要です。

「LANSCOPE サイバープロテクション」では凶悪なマルウェアを速やかに検知・ブロックする、2種類のAIアンチウイルスを提供しています。

▼2種類のアンチウイルスソリューション

1. アンチウイルス✕EDR✕監視サービス（MDR）をセットで利用できる「CylanceGUARD」
2． 各種ファイル・端末に対策できる次世代型アンチウイルス「Deep Instinct」

1． アンチウイルス✕EDR✕監視サービス（MDR）をセットで利用可能な「CylanceGUARD」

アンチウイルスは、EDRと掛け合わせることで、より強固なエンドポイントセキュリティ体制を確立できるのは先述の通りです。

しかし実際「EDRによるセキュリティ監視に手が回らない」という声も多く、アンチウイルスとEDRの併用が出来ていないケースも少なくありません。

・ アンチウイルスとEDRを併用したい
・ なるべく安価に両機能を導入したい
・ しかし運用面に不安がある

そういった方におすすめしたいのが、アンチウイルスを中心に３つのサービスを提供する「Cylanceシリーズ」です。

1． 最新のアンチウイルス「CylancePROTECT」
2． EDR「 CylanceOPTICS」
3． EDRを用いた運用監視サービス「CylanceGUARD」

の3つをお客様の予算やご希望条件に応じて提供します。高精度なアンチウイルス・EDRを併用できる上、セキュリティのプロが24時間365日監視を行うため、より確実にマルウェアの侵入からお客様のエンドポイントを保護することが可能です。

アンチウイルスのみ、アンチウイルス＋EDRのみ導入するなど、柔軟な提案も可能です。侵入前・侵入後のマルウェア対策を両立することで、お客様の大切な情報資産を守りましょう。

2． 各種ファイル・端末に対策できるNGAV「Deep Instinct（ディープインスティンクト）」

・ PC、スマートフォンなどOSを問わず、対策をしたい
・ 実行ファイル以外の様々なファイルにも、対応できる 製品が良い
・ 手頃な価格で「高性能なアンチウイルス」を導入したい

そういった方には、AIによるディープラーニング機能で、未知のマルウェアを高精度にブロックする、次世代型アンチウイルス「Deep Instinct（ディープインスティンクト）」がおすすめです。

近年の攻撃者は、セキュリティ製品の検知を逃れるため、実行ファイルだけでなくExcelやPDF・zipなど、多様な形式のマルウェアを生み出します。 しかしファイル形式を問わず対処する「Deep Instinct」であれば、これらのマルウェアも高い精度で検知・防御が可能です。

実際、近年国内で猛威を振るっているランサムウェアをはじめ、2020年より国内で流行した「Emotet（エモテット）」などの攻撃も、 Deep Instinctで検知することが可能です。

また幅広い端末での利用が可能で、Windows、macOS、AndroidなどのOSに対応しています。手ごろな価格帯で導入できるのも魅力です、ぜひ以下の製品ページよりご覧ください。

マルウェアに感染したかも……事後対応なら「インシデント対応サービス」にお任せ

「PCがマルウェアに感染したかも」
「システムへ不正アクセスされた痕跡がある」

このようにサイバー攻撃を受けた”事後”に、いち早く復旧するためのサポートを受けたい場合は、プロがお客様に代わって脅威に対処する「インシデント対応サービス」の利用がおすすめです。

フォレンジック調査のスペシャリストがお客様の環境を調査し、感染状況と影響範囲を特定。マルウェアの封じ込めをはじめとした復旧支援に加え、今後どのように対策すべきかのアドバイスまで支援いたします。

「自社で復旧作業を行うのが難しい」「マルウェアの感染経路や影響範囲の特定をプロに任せたい」というお客様は、是非ご検討ください。

まとめ

本記事では「ドライブバイダウンロード」をテーマに、その攻撃内容や対策について解説しました。

現代社会では日常的にWebサイトを閲覧し、情報収集・サービスを利用することが多く、ドライブバイダウンロードの脅威が常に存在します。企業や公的機関のWebサイトが攻撃対象になることもあるため、攻撃の仕掛けられたWebサイトを完全に回避することは、現実的に不可能と言えます。

脆弱性対策やアンチウイルスの導入など、立場に応じて最適な対策に取り組みましょう。

また、知っておきたい「最新のマルウェア手口」についてまとめたホワイトペーパーをご用意しました。ぜひあわせてご活用ください。