Internet Explorer 9 の SmartScreen® アプリケーション評価

  • Article

本記事は、マイクロソフト本社の IE チームのブログから記事を抜粋し、翻訳したものです。 

【元記事】SmartScreen® Application Reputation in IE9 (2011/5/18 2:03 AM)

ユーザーを騙して悪意のあるプログラムを実行させようとするソーシャル エンジニアリング攻撃は、セキュリティ脆弱性に対する攻撃よりもはるかに頻繁に行われている攻撃です。Internet Explorer 9 のアプリケーション評価は、このようなソーシャル エンジニアリングによるマルウェア攻撃からユーザーを保護する効果があります。この記事では実際の攻撃を詳しく説明しながら、IE9 の保護がどのように働くのかを解説します。

背景としては、最近の研究 (たとえば、こちら ( 英語 ) ) によると、ソフトウェアの脆弱性に関する話題が大きく取り上げられてきているにもかかわらず、Web を閲覧するユーザーにはソーシャル エンジニアリング攻撃の危険性がますます大きくなってきていることが報告されています。また、いくつかの最近の記事 (たとえば、こちら ( 英語 ) ) では、ユーザーを保護するさまざまな方法が比較説明されています。アプリケーション評価は、フィッシング サイトや悪意のあるプログラムを配布するサイトをブロックするために IE7 および IE8 に導入された保護機能をさらに強化したものです。

ソーシャル エンジニアリング攻撃とその防御のテクノロジ

マルウェアがユーザーによってダウンロードされるという問題は、ますます大きくなってきています。

IE の SmartScreen フィルター機能は、ソーシャル エンジニアリングによるマルウェア攻撃やマルウェアのダウンロードの防止に効果を上げてきました。IE は 1 日に 200 万から 500 万の攻撃を IE8 および IE9 のユーザーからブロックしています。IE8 のリリース以来、SmartScreen は 15 億以上のマルウェア攻撃を防いでいます。

IE は、現在でも、ソーシャル エンジニアリングによるマルウェアに対してこのような保護機能を提供している唯一の製品版主要ブラウザーです。

これらのサービスを大規模に稼働させているマイクロソフトの実績から、ダウンロードされるプログラムのうち 14個に 1個は後からマルウェアであることが確認されていることがわかっています。

SmartScreen 保護は、最初は URL に基づくものでした。IE7 では、クラウド ベースの URL 評価サービスを統合することにより、フィッシング攻撃に対する防御が導入されました。IE8 では同じく URL (Web アドレス) に基づく新たな保護層が追加されました。この保護層は、マルウェアをダウンロードさせようとしたり、ソーシャル エンジニアリングによる手法を使って騙そうとしたりするサイトからユーザーを保護するためのものです。

ソーシャル エンジニアリングでは、たとえば、「無料で映画を観るためにはこれを実行」、「PC をクリーンにするためにこのセキュリティ ソフトウェアをダウンロード」、「絵文字を手に入れよう」などの文句が使われます。ソーシャル エンジニアリングによるマルウェア攻撃をその URL に基づいて保護することは、現在の Web ユーザーの保護において大きな役割を果たしています。

これに加え、IE9 はソーシャル エンジニアリング攻撃に対するさらなる防御として、ダウンロードされるアプリケーションに着目することにしました。

この防御は上記の URL に基づく保護に追加する形で行われます。この新しい保護機能は SmartScreen アプリケーション評価と呼ばれています。既存の他のブラウザーは、プログラムのダウンロードに関して、すべてのファイルについて警告するか、まったく警告しないかのどちらかです。これはどちらにしても、ユーザーが適切な判断をする助けにはあまりなりません。アプリケーション評価は、ブロックするという方法のこれまでの限界を超える効果もあります。つまり、悪意のある Web サイトやプログラムとして認識される前の未知の攻撃も防ぐことができます。

アプリケーション評価の利用により、防御機能によってまだ検出されていない未知のマルウェア プログラム、つまりその時点では安全と識別されてしまうソフトウェア プログラムからユーザーを保護することが可能になります。

IE9 のアプリケーション評価では、既に肯定的な評価が確定されているダウンロードに対しては不要な警告をしないように設定することも可能です。評価の基準となるのは、発行者と個々のアプリケーションの両方です。たとえば、よく知られた発行者が提供する、デジタル署名されたアプリケーションで、ダウンロード回数が多いものは、開設して間もない Web サイトで公開される、未署名のアプリケーションで、ダウンロード回数が少ないものよりも、良い評価となります。

Diagram showing the Application Reputation and URL Reputation services working with IE9.

現実の攻撃の分析

ではこの機能が実際のある攻撃から IE9 ユーザーをどのように保護したかを見てみましょう。以下の図は、数十万ダウンロードという非常に大規模なマルウェア攻撃のダウンロード数の遷移を示しています。アプリケーション評価は、この悪意のあるプログラムについてそれが Web に出現した最初 (つまりゼロアワー) の時点から、IE9 ユーザーに対して警告を発していました。

Chart of a real malware attack showing malware downloads over time.
実際のマルウェア攻撃のダウンロード数と時間経過

従来型のブロックによる保護 (URL のブロックまたはウイルス対策) は 11 時間後に有効になりましたが、それは既に攻撃の活発な時期を過ぎた後でした。このダウンロードでは、アプリケーション評価が確立されていないことを示す IE からの警告が、ユーザーにとっての唯一の防御でした。この悪意のあるプログラムのダウンロードをクリックした IE9 ユーザーの 99% は、アプリケーション評価による不明なプログラムの警告に対して、プログラムを削除するか実行しない選択をしました。

Screen shot of SmartScreen Application Reputation Unknown Program warning notification.
SmartScreen アプリケーション評価による不明なプログラムの警告

この攻撃では、IE9 のアプリケーション評価が攻撃の偽装を見破りました。IE9 からの警告がなければ、この偽装は機能したかもしれませんが、今回はアプリケーション評価によって多くのユーザーが適切な判断を行うことができました。この結果は、まさに私たちマイクロソフトが SmartScreen アプリケーション評価を IE9 に搭載した理由を示すものです。99% のユーザーが感染を免れることができたのです。

これは実際に起きたことの一例にすぎません。下記では、これが集積されることで生まれる大きな効果を説明します。ソーシャル エンジニアリングによるマルウェア攻撃は、今日の Web の最大のリスクとも言えますが、アプリケーション評価はこれの防護方法に大きな変革をもたらしています。

早期からの効果: アプリケーション評価がユーザーの正しい判断を助ける

IE9 ベータ以来の IE9 の使用状況データの調査により、以下のような 2 つの大きな傾向がわかりました。

IE9 ユーザーへのマルウェア感染の劇的な減少
  • ユーザーは新しいアプリケーション評価からの警告に対して、95% の場合、マルウェアを削除するか実行しない選択をしています。
  • マイクロソフトでは、アプリケーション評価が (既存の SmartScreen URL 評価によるブロックに加えて) 1 か月あたりさらに 2000 万件以上の感染を防止しているものと推定しています。
リスクが高い場合のみ警告される、簡素化されたエクスペリエンス
  • プログラムと発行者の両方を基準にアプリケーション評価は決定されるため、ユーザーが SmartScreen を有効にしている場合でも、ダウンロードされるプログラムの 90% ではブラウザーからのセキュリティ警告は表示されません。
  • マイクロソフトのデータによれば、一般的なユーザーでは 1年間に 2回の警告が表示されるのみです。
  • 「不明なプログラムの警告」を確認した上でダウンロードを進めた場合、マルウェア感染が発生するリスクは 25% から 70% です。

実際のユーザーによって確立されるアプリケーションと発行者の評価は、この保護が機能するために最も重要な役割を果たします。多くのユーザーは、まったく知らない人からオンラインで何かを購入する場合には慎重になります。EbayEtsyAngie’s ListAmazon.com などのサイトを見れば、ユーザーが評価機能を使ってどのようにオンラインにおける信頼性の判断を行っているかがわかります。

IE9 ではユーザーがダウンロードするプログラムに対してコミュニティ評価の考え方を適用しています。ユーザーがブラウザーから行ったダウンロードについてマイクロソフトが収集したデータによると、14 個のプログラムのうち 1 個は後からマルウェアであることが確認されていることがわかっています。ユーザーはより適切な判断を行うための情報を必要としています。

IE9 ではダウンロードに関してアプリケーション評価を利用して、評価がまだ確立されていないアプリケーションについてユーザーに高いリスクがあることを警告します。評価が存在しないプログラムの 50% 以上は、その日に Web に登場した新しいプログラムです。日々 IE9 でアプリケーション評価の警告が発せられるプログラムの 25% から 70% は、後にマルウェアであると確認されています。既に評価が確立されているプログラムと発行者には、警告は表示されません。

多くのユーザーは、アプリケーション評価がまだ確立されていないプログラムを、ほとんど、またはまったくダウンロードしません。ただし、ダウンロードしようとした場合には、この警告が非常に重要となります。この警告はまれにしか表示されないため、ユーザーが注意を払う可能性が高くなります。それでもユーザーはファイルをダウンロードすることを選択できます。マイクロソフトのデータによると、ユーザーはより情報に基づいた判断を行っていることを示しています。時間をかけてダウンロード元を確認したり、ダウンロード対象が間違いないかどうかを確認しています。SmartScreen アプリケーション評価を使用することにより、ユーザーはマルウェアと適正なソフトウェアをより適切に識別することができます。

データによるユーザー保護の強化

Web 上のすべてのプログラムの発行者の評価を確立し、ユーザーがより安心してより簡単にプログラムをダウンロードできるようにすることがマイクロソフトの大きな目標です。IE9 ベータ版の開発に先立って、何十億ものダウンロードが分析され、アプリケーション評価と Web の信頼性のための持続的なモデルが構築されました。

このような対応範囲の広さを維持するために、日々数十億もの情報を処理する、大規模で客観的なインテリジェンス システムが構築されています。このシステムでは、新規および既存のアプリケーションと発行者の評価が絶え間なく生成されています。現時点で、数万もの発行者と数百万ものアプリケーションが有機的に確立された評価を持ち、これらは日々刻々と追加され続けています。

適正なソフトウェアについても、場合によっては、新規でまだ評価が確立されていないという警告が表示されることがあります。コミュニティからの報告によれば、これはまれな例外です。評価が確立されている既存の発行者による新規のプログラムには、発行者のコード署名証明書によって発行者の評価が継承されます。新規の発行者は、コード署名によって、ダウンロードが行われるたびに評価を速やかに確立していくことができます。ユーザーが目にした警告の 96% は未署名のプログラムでした。残りの 4% の警告は、過去にマルウェアと関連付けられた証明書によるものと、評価の確立の途中である新規の証明書によるものです。ユーザーは、十分な情報に基づく判断を行い、ダウンロード元を信頼する場合、警告を確認した上でダウンロードを進めることが可能であり、実際にそれを実行しています。

開発者と発行者が評価を確立する方法

業界のベスト プラクティスに従うことにより、開発者はより短期間で良い評価を確立することができます。たとえば通常、署名付きプログラムは未署名のプログラムに比べて 2 倍の速さで評価が確立されます。このためには、AUTHENTICODE 署名を使った、プログラムへのデジタル署名をお勧めします。プログラムがマルウェアであると検出されないようにすることも重要です。Windows ロゴの取得もソフトウェア発行者の評価の確立に役立ちます。

より求められる安全性

SmartScreen アプリケーション評価は日々ユーザーを保護しています。

友人や家族に Internet Explorer 9 へのアップグレードを勧めることには多くの理由がありますが、オンラインでの安全性はその中でもとても大きなものです。

—Jeb Haber、プログラム マネージャー リード、SmartScreen