1 はじめに 2009 年に発生した Gumblar[22] による大規模攻撃を皮切りに, ドライブ バイ ダウンロード攻撃 (DBD 攻撃 ) による被害が後を絶たない. ここ数か月においても, 正規の Web サイトが改ざんの被害を受け, ドライブ バイ ダウンロード攻撃に悪用される事例が多発し

Transcription

1 Computer Security Symposium October 2013 Exploit Kit の特徴を用いた悪性 Web サイト検知手法の提案 笠間貴弘 神薗雅紀 井上大介 独立行政法人情報通信研究機構 東京都小金井市貫井北町 {kasama, masaki_kamizono, 株式会社セキュアブレイン 東京都千代田区麹町 麹町 RK ビル 4F あらまし Web サイトにアクセスしてきたユーザに対して Web ブラウザやプラグイン等の脆弱性を突く攻撃コードを準備し, 強制的にマルウェアをダウンロード 実行させるドライブ バイ ダウンロード攻撃による被害が拡大している. これらの被害拡大の背景としては,Phoenix Exploit Kit や Blackhole Exploit Kit といった攻撃のための専用のツールキット (Exploit Kit) を利用することで, 攻撃者が特別な知識や能力を必要とせずとも容易に自身のドライブ バイ ダウンロード攻撃基盤を構築可能となっていることが大きな要因として挙げられる. そこで本稿では, これらの Exploit Kit によって構築された悪性 Web サイトの特徴を基にドライブ バイ ダウンロード攻撃を検知する手法を提案する. Drive-by-Download Attack Detection based on Characteristics of Exploit Kit Takahiro Kasama Masaki Kamizono Daisuke Inoue National Institute of Information and Communications Technology Nukui-Kitamachi, Koganei, Tokyo , JAPAN {kasama, masaki_kamizono, SecureBrain Corporation Koujimachi, Chiyoda, Tokyo , JAPAN Abstract Recently, security incidents caused by Drive-by-Download attack (DBD attack) which exploits vulnerability in browser or browser s plug-in and infects user s machine with malware have increased. This is because attacker can use Exploit Kit (Phoenix Exploit Kit, Blackhole Exploit Kit, etc.) which is a dedicated toolkit for building Drive-by-Download attack infrastructures, and doesn t need any special skill and knowledge. In this paper, we propose a novel Drive-by-Download attack detection method by using characteristics of malicious Web site built by Exploit Kit

2 1 はじめに 2009 年に発生した Gumblar[22] による大規模攻撃を皮切りに, ドライブ バイ ダウンロード攻撃 (DBD 攻撃 ) による被害が後を絶たない. ここ数か月においても, 正規の Web サイトが改ざんの被害を受け, ドライブ バイ ダウンロード攻撃に悪用される事例が多発しており, 複数の組織から注意喚起が行われている [17][18][19]. これらの攻撃隆盛の背景には,Exploit Kit と呼ばれるツールが大きな要因として挙げられる.Exploit Kit は多くの脆弱性を突く攻撃コード等を備え, アクセスしてきたユーザに対して攻撃コードを準備しマルウェアに感染させるまでの一連の攻撃を行う悪性 Web サイト群を構築するためのツールキットである.Exploit Kit には詳細なインストールマニュアルやインストーラが用意されているため, 攻撃者は特別な知識や能力を必要とせずとも Exploit Kit を利用することで容易にドライブ バイ ダウンロード攻撃のための悪性 Web サイトを構築可能となっている. これらの Exploit Kit を用いて日々大量に生成される悪性 Web サイトに対しては, 従来の URL ブラックリスト方式ではその全てを網羅的にブロックすることは難しいため, 新たな対策手法の確立が希求されている. 本稿では, これら Exploit Kit で構築された悪性 Web サイトでは Exploit Kit を利用しているがゆえに各 Exploit Kit に応じた特徴が現れることに着目し, それらの特徴を用いることで既知の Exploit Kit を用いて構築された悪性 Web サイトを検知する手法を提案する. また, 本手法を MWS Datasets 2013 の D3M に適用し, 実際のドライブ バイ ダウンロード攻撃サイトに Exploit Kit の特徴が現れており, 検知できることを確認した. 以下,2 章で背景としてドライブ バイ ダウンロード攻撃および Exploit Kit の説明を行い, 関連研究について述べる.3 章では, 提案手法を適用するドライブ バイ ダウンロード攻撃対策フレームワークの概要と, 本稿で着目した特徴について述べる.4 章では, 具体的な検知ルールを抽出し,D3M に適用した結果を示す.5 章で考察を行い,6 章でまとめとする. 2 背景 本章では, 背景となるドライブ バイ ダウンロード攻撃の流れと, 代表的な Exploit Kit について説明し, 関 連する既存研究について述べる. 2.1 ドライブ バイ ダウンロード攻撃図 1 に典型的なドライブ バイ ダウンロード攻撃の流れを示す. 図 1 ドライブ バイ ダウンロード攻撃の流れまず, 攻撃者はドライブ バイ ダウンロード攻撃用の攻撃基盤を構築する. この基盤は大きく分けて, 入口サイト, 中継サイト, 攻撃サイト, マルウェア配布サイトから構成され, 多くの場合, 入口サイト以外は Exploit Kit によって構築されている. 入口サイトはドライブ バイ ダウンロード攻撃のトリガとなる Web サイトであり, 攻撃者はユーザをこの入口サイトへ誘導することで攻撃を行う. 入口サイトの構築には, 主に正規の Web サイトを改ざんする方法と, 攻撃者が自前で入口サイトをホスティングする方法の 2 通りが考えられる. 正規の Web サイトを改ざんする場合は, Web サイトの脆弱性を利用したり,FTP 等の正規のアカウント情報を搾取したりすることで改ざんを行う. 正規のWeb サイトを改ざんした場合, 当該 Web サイトにアクセスを試みる多くのユーザを攻撃サイトに誘導することが可能となる. 一方, 攻撃者が自前で入口サイトを準備する場合は, 正規 Web サイトを改ざんするよりも容易だが, スパムメールや SEO ( Search Engine Optimization) ポイゾニングなどを用いて別途ユーザを入口サイトに誘導する必要がある. 入口サイトにアクセスしたユーザは HTML タグや Javascript 等を用いたリダイレクトによって自動的に攻撃サイトまで誘導され

3 る. この際, 主に解析や検知を困難にする目的で, 入口サイトから攻撃サイトに誘導するまでに複数の中継サイトを経由させる場合が多い. 中継サイトを経由したのち, 最終的にユーザは攻撃サイトへ誘導され, 攻撃サイトはアクセスしてきたユーザマシンの環境に合わせた OS や Web ブラウザ,Adobe Flash Player といった各種アプリケーションの脆弱性を突く攻撃コードを送信する. その結果, マルウェア配布サイトから自動的にマルウェアがダウンロード 実行されユーザマシンが感染する. このマルウェア配布サイトは攻撃サイトとは別途用意される場合もあるが, 攻撃サイトに感染させるマルウェアが準備される場合もある. 2.2 Exploit Kit Exploit Kit は OS や Web ブラウザ, 各種アプリケーション等の複数の脆弱性に対応した攻撃コード等を備えたツール群であり, ユーザをマルウェアに感染させるための一連の悪性 Web サイト構築を可能とする. 多くの Exploit Kit は LAMP (Linux+Apache+MySQL+PHP/Perl/Python) 環境を準備すればセットアップが可能となっており, 詳細なインストールマニュアルやインストーラが付属していることで, 攻撃者は特別な知識や能力を必要とせずとも自身の攻撃基盤の構築が可能となる. これらの Exploit Kit はブラックマーケットで販売されており, 近年の多くのマルウェア感染事例で Exploit Kit の利用が確認されている.Exploit Kit には, アクセスしてきたユーザの OS や Web ブラウザ等の各種情報や選択された攻撃コード等の統計情報の管理機能や,GUI による表示機能が搭載され, アップデート機能によって新たに見つかった脆弱性に対する攻撃コードの追加なども容易になっている. さらにはクライアントハニーポットなどによる検知を回避するための機能が含まれたものも存在するなど, 多機能化が進んでいるのが現状である. 参考として, 表 1 に代表的な Exploit Kit とそれらが悪用する脆弱性の例を示す. 表を見ると, 各々の Exploit Kit が複数の脆弱性に対応していることがわかる. これらの Exploit Kit は様々な攻撃で活用されており, 例えば WordPress の脆弱性が悪用されたドライブ バイ ダウンロード攻撃の事例では, Blackhole Exploit Kit で構築された悪性 Web サイトに誘導されていたことが報告されている [24]. CVE 表 1 Exploit Kit と悪用する脆弱性 [14] 2.3 関連研究 論文 [4][5] では, ドライブ バイ ダウンロード攻撃サイ トの大規模実態調査の結果が報告されており, 論文 [5] の調査では,1 年間で数十億の URL のコンテンツを検 査し, そのうちの約 45 万の URL がドライブ バイ ダウ ンロード攻撃サイトと判定されている. ドライブ バイ ダウンロード攻撃の対策手法としては, まず URL ブラックリストによる対策が挙げられる. ブラッ クリストにはインターネット上で公開されているもの [20][21] も存在するほか, Internet Explorer や Google Chrome などの Web ブラウザでは Microsoft や Google が保持するブラックリストを用いてユーザの 悪性 Web サイトへのアクセスのフィルタリングが行われ ている [15][23]. しかし, 論文 [2] で報告されているよう に, 悪性 Web サイトの URL は攻撃者によって頻繁に 変更される傾向があるため,URL ブラックリストによって 網羅的に対応することは困難な状況となっている. 一方 で, 汎用的にドライブ バイ ダウンロード攻撃を検知す る手法も提案されている. 論文 [6] では, リアルタイムで のヒープ領域の監視によって,HeapSpray 攻撃を検知 する手法が提案されている. 論文 [2] では,JavaScript コードから抽象構文木を用いて特徴抽出を行い, 単純 ベイズ分類機によって悪性 JavaScript を判定する手 法が提案されている. 論文 [3] では, カーネルレイヤで のイベントフックによってブラウザによるファイルダウンロ ード時の同意確認ダイアログとそれに対するユーザ入 力を監視し, 同意の確認できないファイルの実行を制 限することで DBD 攻撃を防止する手法が提案されて いる. また, 論文 [9][10] では, ドライブ バイ ダウンロー ド攻撃時のリダイレクト遷移に着目した分析が行われて いる. 対象アプリケーション Black hole 2.0 Cool Sweet Orange 1.1 Redkit Yang Pack CVE Internet Explorer CVE Adobe Reader / Acrobat CVE Internet Explorer CVE Adobe Flash Player CVE Adobe Flash Player CVE WIN XP-2008 via IE CVE Java CVE Java CVE Adobe Reader / Acrobat CVE Java CVE XML IE CVE Internet Explorer CVE Java CVE Java CVE Java CVE Java

4 3 Exploit Kit の特徴を用いた悪性 Web サイトの検知表 1 に示したような Exploit Kit を利用することで, 攻撃者は容易に自身のドライブ バイ ダウンロード攻撃基盤を構築することができる. しかしその一方で, 同一の Exploit Kit を用いて構築された攻撃サイト等にはその Exploit Kit に応じた特徴が現れると想定されることから, 本稿では, 既知の Exploit Kit からそれらの特徴を抽出し, 当該 Exploit Kit によって構築された攻撃サイトを検知する手法を提案する. 3.1 想定環境本手法は論文 [7] で提案したドライブ バイ ダウンロード攻撃対策フレームワーク上での適用を想定している. 当該フレームワークでは, 各ユーザのブラウザ上で動作するブラウザ組込型センサを多数のユーザに展開することで, ドライブ バイ ダウンロード攻撃の大規模観測 分析を行う. ブラウザ組込型センサは Web ブラウザのプラグインとして実装されており, ユーザの環境情報やWeb ブラウジング時のアクセス情報を収集する. 表 2 にセンサが収集可能な情報の一覧を示す. なお, 各情報のセンタへの送信の可否はセンサを導入したユーザによって設定が可能となっている. 各センサが収集した情報はセンタへと送信され, センタ側では集まった情報を分析することで, 不審サイトの検出を行う. 必要に応じてクライアントハニーポットによるクローリング検査を行う. センサにはアクセスブロック機能が搭載されており, ユーザが悪性 Web サイトへアクセスを試みた際はセンタからセンサに対してアラート情報を送信することで, 当該サイトへのアクセスを強制ブロックし警告画面を表示することができる. このブラウザ組込型センサ内に提案手法による検知 エンジンを組み込むことで, ユーザ環境への適用を容易にするとともに, センタ側から各センサに新たな検知ルールを展開することで更新を容易にする. 3.2 検知ルール検知ルールには以下の 4 つの特徴を用いる. URL および引数 Exploit Kit を用いて構築された悪性 Web サイトの URL およびその引数には特徴が見られるため, それらの特徴を基に検知を試みる. 例えば,Blackhole Exploit Kit の解析レポート [11] では, 当該 Exploit Kit で構築された悪性 Web サイトには下記に示すような特徴的な URL が現れることが報告されている. これは,Exploit Kit には構築に必要な各種リソースファイルが全て含まれているため, 入手した Exploit Kit をそのまま利用した場合, そのリソースファイル名やディレクトリ構造, 引数の形式には利用した Exploit Kit の特徴が現れるためである. 攻撃者が Exploit Kit のリソースファイル等を改変することで, 上記のような特徴が現れないようにする可能性も考えられるが, 最近の Exploit Kit の多くは,Exploit Kit 開発者が自身の作成した Exploit Kit を保護する目的で Exploit Kit の設定ファイルを除いた多くのスクリプトファイルに暗号化を施すこと ( 図 2) があり, そのような場合には Exploit Kit 利用者が自由に改変を施すことは容易ではないと想定される. 表 1 センサが収集可能な情報 環境情報 アクセス情報 ブラウザの種類ブラウザのバージョンブラウザにインストールされているプラグインの名称とバージョンブラウザの設定情報アクセス URL アクセス日時リクエストヘッダリダイレクトの有無マウスイベントの有無レスポンスヘッダコンテンツ 図 2 ioncube[16] によって暗号化された PHP スクリプト例

5 Javascript コンテンツに含まれる Javascipt にも特徴が現れる. 例えば,URL と同様に Blackhole Exploit Kit では, 脆弱性を突くための Javascript の関数名として表 3 に示すような特定の名前が用いられているため, これらの特徴的な関数名や, その他の特徴的な部分を基に検知を試みる. これらの特徴も URL と同様にリソースファイルの暗号化が施されている場合には,Exploit Kit 利用者による変更が難しいと想定される. ただし, 下記の特徴として示すように Javascript が難読化されていた場合, 難読化の解除処理が実行された後にしか特徴が現れない可能性も考えられる. 現状のセンサでは難読化解除後の Javascript を収集することはできないため, センサ側で難読化された Javascript を検知した場合には, 必要に応じてセンタ側の Javascript 解析用の動的解析エンジンを利用して難読化が解除された後 Javascript を取得する. 図 3 難読化された Javascript 例 リダイレクト図 1 で示したように, ドライブ バイ ダウンロード攻撃では, 入口サイトから複数回のリダイレクトが発生して攻撃サイトに到達するケースが多い. 図 4 に後述する D3M 2013 に含まれていたドライブ バイ ダウンロード時のリダイレクト遷移を示す. このようなリダイレクトの特徴, 例えばリダイレクトの種類 (HTTP ステータスコード, HTML タグ,Javascript など ) とリダイレクトの流れを基に検知を試みる. 表 3 脆弱性を突く Javascript の関数名 (Blackhole Exploit Kit)[13] 図 4 リダイレクト遷移の例 4 D3M を用いた検証 難読化手法正規のサイトが入口サイトとして改ざんされ難読化された Javascript による攻撃サイトへのリダイレクトリンクが挿入されるなど,Javascript の難読化はドライブ バイ ダウンロード攻撃で多用されている ( 図 3). 難読化には,try-catch 処理や DOM 参照, 文字列のエンコードや分割 結合などの操作が用いられるが, これらの特徴的な難読化処理を基に検知を試みる. ただし, 難読化自体は悪性 Web サイトに限らず正規サイトでも用いられるため, それら正規サイトと悪性 Web サイトを識別可能な特徴を用いる必要がある. 本章では,3 章で示した特徴について, 収集した Exploit Kit の解析結果や他組織の Exploit Kit の解析結果レポートを基に検知ルールを設定し, それらを MWS Datasets[8] の D3M に適用した結果を示す. 4.1 D3M 2013 D3M 2013 は NTT セキュアプラットフォーム研究所が開発した高対話型クライアントハニーポット [1] で収集したドライブ バイ ダウンロード攻撃サイトにアクセスした際の通信データ, 収集されたマルウェア検体, マルウェア検体を動的解析した際の通信データが含まれるデータセットであり, 比較分析が可能なように,D3M

6 および D3M 2011 も含まれている. 表 4 に D3M 2011, 2012,2013 における, データ収集日, クローリングのシ ード URL 数, データセットに含まれる合計の HTTP リ クエスト数の合計を示す. 表 4 D3M2013, 2012, 2011 データセット データ収集日 シードURL 数 HTTPリクエスト数 2013/2/26 9 D3M /10/ /8/ /3/28 42 D3M /3/ /3/ /3/ /2/ D3M /2/ /2/ 検知ルールの抽出および検証 本節では, 我々が収集した複数の Exploit Kit を基 に検知ルールの検討とそれらの検知ルールを D3M に 適用して検証を行う. ただし今回は,3 章で示した 4 つ の特徴のうち URL および引数の特徴のみに絞り, 実際 の Exploit Kit 内に含まれる特徴的な名前のリソースフ ァイル名や,PHP スクリプト内のソースから把握可能な 引数の形式などを抽出することで, 検知ルールとした. 収集した Exploit Kit の解析結果の他にも Web 上で公 開されている各種 Exploit Kit の解析結果から特徴的な URL および引数の形を調査し検知ルールに組み込んだ. 表 5 に実際に用意した検知ルールとそれらを D3M に適用した際の検知結果を示す. 例えば, main.php?page=[0-9a-f]{16} は解析レポート [11] で報告されている Blackhole Exploit Kit で構築された攻撃サイトの入口 URL パターンであり,main.php ファイルに引数名 page で数字または a から f までのアルファベット 16 文字を指定している. このパターンを D3M で検証した結果,D3M 2011 のデータでは検知されなかったが,D3M 2012 では 39 件,D3M 2013 では 8 件が検知された. 同様に Blackhole Exploit Kit の URL パターンである, /ap2.php?f=[0-9a-f]{1-5} は D3M 2012 で 48 件が検知され, /[a-z].php?f=[0-9a-z]{1-5}&e=[0-9] は D3M 2011 で 32 件,D3M 2012 で 69 件,D3M 2013 で 11 件が検知されていることから,2012 年のデータセットでは多くの悪性 Web サイトが Blackhole Exploit Kit で構築されていたことが想定される. また,Blackhole Exploit Kit 以外にも,Crimepack や Elenore Exploit Pack, Phenix Exploit Kit,Incognit Exploit Kit に対応したルールについても D3M で検知されており,Exploit Kit の特徴によって多くの悪性 Web サイトが検知できていることが確認できる. 表 5 検知ルールと D3M での検証結果 検知ルール 構築に用いられたと結果想定されるExploit Kit D3M 2013 D3M 2012 D3M2011 /main.php?page=[0-9a-f]{16} Blackhole Exploit Kit /google.php?gmpid=[0-9a-f]{16} Blackhole Exploit Kit /check.php?uid=[0-9a-f]{16} Blackhole Exploit Kit in/t/[0-9a-z]{32} Blackhole Exploit Kit ftp1.biz/t/[0-9a-z{32} Blackhole Exploit Kit ddns.info/t/[0-9a-z]{32} Blackhole Exploit Kit /ap1.php?f=[0-9a-f]{1-5} Blackhole Exploit Kit /ap2.php?f=[0-9a-f]{1-5} Blackhole Exploit Kit /fdp2.php?f=[0-9a-f]{1-5} Blackhole Exploit Kit /[a-z].php?f=[0-9a-z]{1-5}&e=[0-9] Blackhole Exploit Kit /[a-f0-9]{16}/ff.php Blackhole Exploit Kit /[a-f0-9]{16}/q.php Blackhole Exploit Kit /[a-f0-9]{32}/q.php Blackhole Exploit Kit /pdf.php Blackhole Exploit Kit/ Crimepack/ Elenore Exploit Pack /pdf2.php Blackhole Exploit Kit /javaobe.jar Blackhole Exploit Kit /CP-ENC-[0-9]{4}.php Crimepack /5734.jar Elenore Exploit Pack /432.js Elenore Exploit Pack /load.php?spl= Elenore Exploit Pack? /dududu.js Phoenix Exploit Kit /jueoaritjuir.php Phoenix Exploit Kit /in.php?a=[0-9a-za-z]{36}== Incognit Exploit Kit

7 5 考察 Exploit Kit に着目するメリット デメリット提案手法では,Exploit Kit の特徴を基に悪性 Web サイトの検知を行う.Exploit Kit に着目するメリットとしては, まず未知の悪性 Web サイトであっても, 既知の Exploit Kit で構築されている場合に検知できることから, 単純な URL ブラックリストよりも汎用的に悪性 Web サイトを検知できることである. 特に, 入口サイトは Exploit Kit 利用者が変更できるため様々なパターンが見受けられるのに対し, 攻撃サイトは Exploit Kit が暗号化 難読化されているが故に利用者が内容を変更することができず, 同じ Exploit Kit を利用している場合は, その特徴を把握しやすいと言える. また, 利用された Exploit Kit がわかることで, その悪性 Web サイトが対象とする脆弱性の種類などが推測可能になり, 全体把握が容易になると考えられる. 一方, デメリットとしては, 検知ルール作成のために Exploit Kit の収集 解析を行っているため, 基本的に完全に新しい Exploit Kit を用いた悪性 Web サイトや Exploit Kit を用いていない場合には検知ルールの導出が行えない. 検知ルールの抽出本稿では Exploit Kit を入手し, そこから検知ルールとしての特徴を主として導出したが, 一方で, クライアントハニーポット等で検知した際の悪性 Web サイトの解析データから共通の URL や引数のパターンを抽出することで, 具体的な Exploit Kit の特定はできないものの, ある未知の Exploit Kit の特徴とみなした検知ルールを作成することも可能である. 実際に D3M で観測された HTTP リクエストを見ると, 今回のルールにはマッチしないものの特徴的な URL や引数のパターンを持ったものが散見される. また, 論文 [7] に示すフレームワークでは, 各センサから送られてきた URL 情報等をセンタ側にて一括管理し, 捜査できる機構となっている. さらに, センサにはドライブ バイ ダウンロードの入口サイトなどにインジェクトされている難読化 JavaScript を検知する機能も有している これより, 広範囲な URL の共通パターンの集や, 入口サイトからリダイレクトされた URL に着目して共通パターンを特定するなど, 様々な方法にて検知ルールを更新することが可能である 誤検知対策 4 章における検証では,D3M に対する有効性を示しており, 正規サイトを用いた検証は行っていない. 特に短い検知ルールを用いている場合には正規サイトの誤検知が発生する可能性が十分考えられる. また, 攻撃者の立場からは, 正規 Web サイトで頻繁に用いられるような URL や引数のパターンを Exploit Kit でも用いることで, 正規 Web サイトと悪性 Web サイトの判別を困難にしようと試みることが考えられるが, そのような場合に対しても 3.2 節で示した他の特徴と組み合わせた総合的な検知ルールを適用することで識別可能となると考えている. 6 おわりに 本稿では, 攻撃者が悪性 Web サイトの構築に Exploit Kit が用いた際にそれらの悪性 Web サイトに Exploit Kit に応じた特徴が現れることに着目した悪性 Web サイト検知手法を提案した. 単純な URL ブラックリストでは日々大量に発生する悪性 Web サイトを網羅することは難しいが,Exploit Kit の特徴を用いることで当該 Exploit Kit を利用して構築された悪性 Web サイトを効果的に検知できると期待できる. また,Exploit Kit の特徴を用いることで, 検知された悪性 Web サイトが攻撃対象とする脆弱性などが推測可能になり, 攻撃の全体把握が容易になると考えられる. 今後の課題として, まず本稿では 3.2 節で示した特徴のうち URL および引数の特徴のみしか検証を行っていないため, そのほかの特徴に関しても検知ルールの検討と検証を行う. また, 正規サイトに関するデータを用いて誤検知率に関する検証も行う必要がある. 最後に論文 [7] で提案したドライブ バイ ダウンロード攻撃対策フレームワークと連携し, その有効性を確認することが今後の課題である. 参考文献 [1] M. Akiyama, et al., Design and Implementation of High Interaction Client Honeypot for Drive-by-download Attacks, IEICE Trans., Vol.E93-B No.5 pp , [2] C. Curtsinger, et al., ZOZZLE: Fast and Precise In-Browser JavaScript Malware Detection, In

8 Proceedings of 20th USENIX Security Symposium, [3] L. Lu, et al., BLADE: An Attack-Agnostic Approach for Preventing Drive-By Malware Infections, in Proceedings of 17th ACM Conference on Computer and Communications Security, [4] N. Provos, et al, All your iframes point to us, In Proceedings of 17th USENIX Security Symposium, [5] N. Provos, et al., The ghost in the browser analysis of web-based malware, In 1st Workshop on Hot Topics in Understanding Botnets, [6] P. Ratanaworabhan, et al., Nozzle: A Defense Against Heap-spraying Code Injection Attacks, in Proceedings of 18th Usenix Security Symposium, 2009 [7] 笠間, 他, ドライブ バイ ダウンロード攻撃対策フレームワークの提案, 情報処理学会コンピュータセキュリティシンポジウム 2011(CSS2011),2011. [8] 神薗, 他, マルウェア対策のための研究用データセット, 情報処理学会マルウェア対策研究人材育成ワークショップ 2013(MWS2013),2013. [9] 桑原, 他, パスシーケンスに基づく Drive-by-Download 攻撃の分類, 情報処理学会マルウェア対策研究人材育成ワークショップ 2010 (MWS2010),2010. [10] 寺田, 他, 検知を目指した不正リダイレクトの分析, 情報処理学会マルウェア対策研究人材育成ワークショップ 2010(MWS2010),2010. [11] F. Howard, Exploring the Blackhole exploit kit Naked Security, ole-exploit-kit/, accessed Aug. 24, [12] G. Szappanos, INSIDE A BLACK HOLE, hnical%20papers/sophosinsideablackhole.pdf, accessed Aug. 24, [13] G. Szappanos, Inside a Black Hole: Part2, technical-papers/inside-a-black-hole-part-2.aspx, accessed Aug. 25, [14] contagio malware dump, contagio: An Overview of Exploit Packs (Update 19.1) April 2013, accessed Aug. 14, [15] Google Developers, Safe Browsing API, accessed Aug. 16, [16] ioncube, PHP スクリプトの暗号化 ioncube PHP Encoder, accessed Aug. 25, [17] IPA, ウェサイト改ざんの増加に関する一般利用者ウェブ閲覧者向け注意喚起, tml, accessed Aug. 14, [18] IIJ, IIJ Security Diary: BHEK2 による大量改ざん, accessed Aug. 25, [19] JPCERT/CC, Web サイト改ざんに関する注意喚起, accessed Aug. 14, [20] MalwareBlacklist.com, accessed Aug. 19, [21] Malware Domain List, accessed Aug. 19, [22] McAfee, 新ウイルス Gumblar( ガンブラー ) 対策について, gumblar.asp, accessed Aug. 14, [23] Microsoft Windows, Internet Explorer 10 のプライバシーに関する声明, microsoft.com/ja-jp/internet-explorer/ie10-win8-priv acy-statement, accessed Aug. 16, [24] TrendLabs SECURITY BLOG, 改ざんされた WordPress 使用のサイト Blackhole Exploit Kit に誘導, accessed Aug. 19,