ソーシャル・ブックマークと悪質なWebサイト

2007.06.25

Symantec Security Response Weblog

「Social Bookmarking and Malicious Websites」より
May 30，2007　Posted by David Curran

　2007年5月，ソーシャル・ブックマーク・サイトreddit.comにあったトップ記事が，マルウエアをダウンロードさせるWebサイトにリンクされた。RedditやDiggなどのソーシャル・ブックマーク・サイトでは，ユーザーの人気度に応じて記事をランク付けし，その記事へのリンクを掲載している。問題のリンク先にあったマルウエアはTrojan.ByteVerifyの亜種で，ユーザーのパソコンに別のマルウエアのダウンロードも行う。

　ソーシャル・ブックマーク・サイトからのリンクを使うと，どれくらい効果的にマルウエアを広められるのだろう。いったい何台のパソコンを感染させられるだろうか。悪質なWebサイトによって感染する数は，そのWebサイトを閲覧したユーザー数と，閲覧者の中でそのマルウエアに感染しやすいユーザーの割合によって決まる。

　英Eコンサルタンシーによると，あるWebページがDiggで人気記事に選ばれた場合，1万2000人がそのページにアクセスするという。似たような手口では，マルウエアをまんまと実行させるためのソーシャル・エンジニアリング的な手口としてスパムが使われる。この現状を見ると，「悪質なWebサイトにユーザーをおびき寄せる目的で，マルウエア作者がソーシャル・ブックマーク・サイトにソーシャル・エンジニアリングを仕掛けることなどない」と考えるのは，あまりにも世間知らずだ。

　マルウエアの作者は，どうやって自分たちのWebページの“人気”を高めるのか。一つ目の方法は，大量に作成したアカウントを使い，人気記事に仕立て上げたい記事への“賛成票”を投ずるというものだ。こうした組織的な投票戦略はかつて複数のソーシャル・ブックマーク・サイトで問題となり，少なくともある程度の対策は講じられた。

　二つ目の方法は，注目を集める記事とタイトルを作るのだ。そもそもWebサイトのユーザーは，記事の人気を高める行為に悪用される特性を備えている。例えば，Diggで人気の出るタイトルの見本としては，「Hey, cool, someone wrote an article about Digg!（おい，Diggの記事を書いたやつがいるぞ！）」というものが紹介されていた。マルウエアの作者が悪質なWebサイトへの誘導にソーシャル・エンジニアリングの原理を応用し始めたら，感染率を上げられる。

　疑問はもう一つある。「悪質なWebサイトの閲覧によってどの程度マルウエアに感染するのか」というものだ。ソーシャル・ブックマーク・サイトのユーザーは，技術に詳しい場合が多い。システムに最新のセキュリティ・パッチやウイルス定義ファイルを適用していることが多く，OSやWebブラウザの種類もさまざまである。このため，1種類のOSとWebブラウザだけを狙った脅威は，利用者の一部にしか影響を及ぼさない。

　ユーザーを悪質なWebサイトに導くリスクを軽減するため，ソーシャル・ブックマーク・サイトの運営者は何ができるだろうか。考え得る答えの一つは，リンク先Webページにソフトウエア・ダウンロード機能があるかどうかを，自動的に検査するシステムを導入することである。ただ，マルウエアのダウンロードが行われないことを確認するには，多くのOSとWebブラウザでの検証が必要なため，ハードルが高い。このことが自動検査を難しくしている。

　ソーシャル・ブックマーク・サイトに詳しいユーザーがたくさんいれば，あるWebページが悪意を持つものであった場合，誰かがすぐにその事実に気付くかもしれない。こうした集団による知恵（crowd wisdom）によって，最終的に悪質なWebページは葬り去られるか，人気の出る前に報告される。今回紹介したRedditのケースでは，悪質なWebサイトが集団による知恵で見つけられる前に，最高の人気を獲得してしまった。ただし，悪質なWebサイトであるとRedditのユーザーに認識されたら，直ちに一覧から削除された。

◆この記事は，シマンテックの許可を得て，米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は，「Social Bookmarking and Malicious Websites」でお読みいただけます。