脅威の状勢:なぜDNSシグネチャとURLのマルウェア カテゴリが変わるのか、その理由

告知
Attention: The LIVEcommunity is experiencing an interruption with videos in some areas. We apologize for any inconvenience this may cause. Thank you for your patience as we work towards a solution to restore videos.
Printer Friendly Page

※この記事は以下の記事の日本語訳です。
Threat landscape: Why DNS Signatures and URL categorizations for malware change

https://live.paloaltonetworks.com/t5/Threat-Articles/Threat-landscape-Why-DNS-Signatures-and-URL-cat...

 

 

問題

- "Suspicious DNS signature" (WildFire: 3,800,000 - 3,999,999, AV: 4,000,000 - 4,199,999) の内容が以前と異なる。

- 悪意のあるサイトがMalwareとして分類されていない、あるいは、以前はMalwareと分類されていたけれども現在は別カテゴリに分類されている。

 

 

解説

脅威は日々、変化と進化を遂げています。現在、エクスプロイト キットの作成者はセキュリティをかいくぐるための複雑なメカニズムを熟知しています。最近の事例に関しては、このリンクを参照してください。悪意のあるサイトは、サイトに訪れるユーザーに対してエクスプロイトやマルウェアを隠すように巧みにフィルターすることができます。それには、ロケーション、ブラウザの動作、クッキーの値、過去の訪問履歴、訪問した時間など、様々な要素が用いられます。

 

サイトが常に悪意のある行いをし、訪問する全てのユーザに対して影響を与えるようでなければ、そのサイトを運行している全てのドメインをMalwareと定義することは理想的ではありません。なぜならば、そうすることによって正規のコンテンツやサービスまでブロックされる恐れがあるためです。

 

DNSシグネチャは利用できるアクティブなデータを元に、短い期間で変更されていきます。WildFireのコンテンツは15分おきに更新されるため、DNSの分類も最短で15分で更新されます。ただし、この更新周期はデバイス上でのWildFireコンテンツの更新スケジュールの設定に依存します。

 

ブロックと防御へのアプローチは、攻撃者が利用するテクニックにマッチするために順応でなければなりません。柔軟、かつ正確に検知を行い、正規のトラフィックをブロックしないようにすることが最もな理想です。実際に悪意のあるコンテンツの配信を検知することは、評判をベースにしたブラックリストに比べれば(サイトの分類判断基準として)より正確です。

 

最近の脅威に常に対応できるように、我々のシグネチャは絶えず更新され続けます。仮に、現在アクティブとなっている脅威をベースとしてテスト/更新/削除がなされなければ、その防御は意味を成さないものになるでしょう。

 

 

著者: rcole