先週、独立したラボAV-Testは、検索エンジンを介して配信されるマルウェアに関する18か月の調査結果を発表しました。 私たちと読者にとって大きなポイントは、BingがGoogleのほぼ5倍のマルウェアを返したということでしたが、AV-Testによるとそれはまだリーダーではありませんでした。 そのタイトルはロシアの検索エンジンYandexに送られました。Yandexはその後AV-Testの結果に挑戦しました。
Yandexが回答を求めている
Yandexは声明の中で、AV-Testの方法論に関するいくつかの質問を提示しましたが、そのうちのいくつかはコメントに反映されていました。 Yandexは、AV-Testがマルウェアをどのように定義したか、サンプルサイズがそれほど劇的に変化した理由、研究の情報がどのように収集されたかなどを知りたいと考えました。
Yandexはまた、同社が原則としてマルウェアの結果をフィルタリングしないことを指摘しました。 「Yandexは独自のウイルス対策技術を使用して、ユーザーを悪意のあるソフトウェアから保護しています」と同社からのメールを読みます。 「Yandexは、安全でないコンテンツをユーザーに通知するために、検索結果で感染したWebページをマークします。ユーザーに結果を通知するだけで、Webページへのアクセスを完全にブロックしません。」
AVテストの応答
ドイツのテストラボはSecurityWatchに、悪意のあるサイトを「既知のマルウェアを拡散するか、悪意のあるバイナリのドライブバイダウンロードまたは直接ダウンロードを含むWebサイトを含む悪意のある動作を示す」サイトとして定義しました。
悪意のあるサイトのカウント方法について、AV-Testは4つの検証方法を使用したと説明しました。 最初に、難読化されたJavascript、非表示のiframe、異常なリダイレクトなど、すべてのサイトの疑わしい動作を調べました。 これらの機能のいずれかを備えたサイトは、その後、既知のエクスプロイトなどの悪意のある動作を探す会社の動的分析システムに入りました。
動的分析に加えて、AV-Testは既知の悪意のあるコンテンツとサイトのリストを使用します。 「Webサイトのコンテンツに拡張静的チェックを適用します」とAV-Testは述べています。 「データにより、既知のエクスプロイトまたはマルウェアバイナリを特定することができました。」
AV-Testは、定期的にカバーしている定期的なウイルス対策テストの一環として、市販のソフトウェアを悪意のあるURLから検出します。 その後、ラボはこの「実世界のテスト」を調査に統合しました。 同社は、「疑わしいURLの大部分は、通常の公開テストの一環としてアンチウイルス製品に対してもテストされた」と説明しました。
疑わしいURLは、MalwaredomainlistやZeustrackerなどの他のマルウェアデータベースとクロスチェックされました。
別の種類のテスト
また、AV-Testは、マルウェア対策ソリューションに関するYandexのポイントに対処し、検索エンジンが疑わしいリンクの近くに警告を出すだけではないことを指摘しました。 「すべてではないにしても、ほとんどの検索エンジンがある程度これを行う」とAV-Testはセキュリティウォッチに語った。
「しかし、それはこの研究の一部ではありませんでした」とAVテストは続けました。 「テストした結果、悪意のあるWebサイトがどれだけ検索エンジンのインデックスに登録され、しばらくそこに留まることができましたか。」 これは重要な違いです。どの検索エンジンが「より安全」であるかを実際に扱っているのではなく、悪意のあるユーザーがマルウェアを拡散するためにどのように検索エンジンを使用するかを扱っているためです。
AV-Testは、Yandexのマルウェア対策システムの有効性を判断するには、検索エンジンが正しく識別した悪意のあるWebサイトの数を調べた新しい調査を設計する必要があると述べました。 また、このような調査では、警告が見やすく、ユーザーが正しく解釈できるかどうか、警告が表示される速さ、誤検知の数を調べる必要があります。
今後
YandexとAV-Testは明らかにこの問題について「友好的な」話をしているようですが、まだいくつかの質問に答えがありません。 ただし、明確なことが1つあります。攻撃者は、検索エンジンの最適化を積極的に使用して、検索エンジンの結果を介してマルウェアを拡散しています。
検索エンジンがこの問題にどのように対処するかは、彼らとそのビジネスモデル次第です。 実際、Yandexにはユーザーを保護する他の手段があるかもしれませんが、悪意のある結果はまだそこにあります。 Google、Bing、および調査の他のサイトでも同じことが言えます。
本当の脅威
読者の多くが議論した別のポイントは、この戦術が実際の脅威を構成したかどうかでした。 AV-Testは、個人が検索エンジンを介してマルウェアに遭遇する可能性は極めて低いことを認めましたが、それはゲーム攻撃者がプレイしているものではありません。 彼らは、Googleだけで1日に20〜30億件の検索を処理しているという事実に基づいています。 これにより、世界中で1日に約50, 000件の悪意のある結果が発生します。 通常マルウェア攻撃の場合と同様に、それは あなたの ことではなく、数字のことです。
それに加えて、AV-Testは、これらの悪意のあるサイトの多くが検索エンジン最適化技術(または、専門用語に精通している人にはSEO)を採用していることに注目しました。 これらは、Googleで注目を集めるために、ニュースサイトやブログが人為的または公正に検索結果を上げるのに役立つ同じテクニックの一部です。 これらは偶然の出会いではありません。 彼らは、できるだけ多くの犠牲者を襲うことを期待して、関連性のある局所的な結果をターゲットにしています。
持ち帰りはまだ同じです。安全を保ち、スマートにクリックし、ある種のセキュリティソフトウェアを入手してください。
