Hebikuzure's Tech Memo

2011年5月24日

IE9 の SmartScreen® アプリケーション評価

Filed under: IE Blog — hebikuzure @ 8:31 PM

SmartScreen® Application Reputation in IE9
http://blogs.msdn.com/b/ie/archive/2011/05/17/smartscreen-174-application-reputation-in-ie9.aspx


前の記事に続き、Internet Explorer 9 の SmartScreen のアプリケーション評価についての IE Blog の記事の私訳です。

以下の文章は IE Blog の 5/17 の記事 SmartScreen® Application Reputation in IE9 を hebikuzure が私的に試訳したものです。翻訳については Microsoft Corporation および日本マイクロソフト株式会社とは無関係に hebikuzure が公開情報に基づき独自に行ったものであり、この文書の内容についての文責は公開者である hebikuzure にあります。翻訳の内容および技術的内容については正確を期すよう十分な注意を払っておりますが、誤りや不正確な部分が含まれている可能性がありますので、本文書を利用される際には原文も併せてご確認ください。


IE9 の SmartScreen® アプリケーション評価

2011年5月17日 午前10時3分

ユーザーを騙して悪意のあるプログラムを実行させるようなソーシャル エンジニアリング攻撃は、セキュリティー脆弱性に対する攻撃よりはるかに一般的です。IE9 のアプリケーション評価はこうしたソーシャル エンジニアリングによるマルウェア攻撃からユーザーを保護するのに有効です。この記事では現実の攻撃とこれらの防御がどのように機能しているのかについての詳細を提供します。

参考として、最近の研究 (このようなもの) は、ソフトウェアの脆弱性への攻撃が話題になっているにもかかわらず、Web ブラウジングをする人々はソーシャル エンジニアリング攻撃により多く直面している事を示しています。また最近の記事 (このようなもの) では人々を保護するための異なるアプローチについて比較しています。アプリケーション評価は、IE7 と IE8 で導入されたフィッシング サイトと悪意のあるプログラムを配布しているサイトをブロックする現行の保護機能への、自然な拡張です。

ソーシャルエンジニアリング攻撃と防御のテクノロジー

ユーザーによよってダウンロードされるマルウェアは巨大な問題であり、増大しています。

SmartScreen フィルターを通じて、IE は効果的にソーシャル エンジニアリング型マルウェア攻撃と悪意のあるダウンロードをブロックしてきました – IE は 1日に 200万から500万の攻撃を IE8 と IE9 のユーザーからブロックしています。IE8 のリリース以降、SmartScreen は 1.5億回以上のマルウェアと推測される攻撃をブロックしています。IE は依然としてソーシャル エンジニアリング型攻撃に対してこの種の保護を提供している唯一の主要なブラウザー製品です。こうしたサービスを大規模に稼働させている私たちの経験から、すべてのダウンロードされるプログラムのうち 14個に 1個は後からマルウェアと判定される事がわかりました。

元々、SmartScreen 保護は URL ベースでした。IE7 では統合されたクラウド ベースの URL 評価サービスによるフィッシング攻撃からの防御を導入しました。IE8 では別のレイヤーの保護を追加しました。URL (または Web アドレス) をベースにしている点は同じですが、悪意のあるプログラムを提供し、ソーシャル エンジニアリングのテクニック (“これを実行して無料で映画を見よう、貴方のコンピュータをクリーンにするためこのセキュリティー ソフトウェアをダウンロードしよう、格好いい顔文字を手に入れよう!”) を利用してユーザーにそれをダウンロードし実行させようとするサイトからユーザーを保護しています。ソーシャル エンジニアリング型マルウェア攻撃からの URL ベースの保護は、今日の Web 上の一般ユーザーのための防御にとって重要なレイヤーです。

とは言え、IE9 ではダウンロードされようとしているアプリケーションに注目した、ソーシャル エンジニアリング攻撃に対抗する今までとは異なった防御のレイヤーを追加しました – これが上記の URL ベースの保護に追加されています。この新しい保護のレイヤーは SmartScreen アプリケーション評価と呼ばれています。プログラムがダウンロードされようとする時、現行の他のブラウザーではすべてのファイルについて警告するか、まったく警告しないかのどちらかです。このどちらのアプローチでもユーザーがより良い判断をする助けにはなりません。アプリケーション評価ではまた、全てのブロック ベースのアプローチに存在する、Web サイトやプログラムに悪意があると識別される以前の、新規の攻撃に対する制限が改善されています。

評価システムの利用はユーザーを新規に公開された – 正規のプログラムであるように装った – 既存の防御メカニズムによって検知されていないマルウェア プログラムから保護するのに有効です。評価システムはまた、既に肯定的な評価が定まっているダウンロードに対しては IE9 が不要な警告をしないようにできます。発行者と個々のアプリケーションの両方について評価が構成されます。例えば、よく知られた発行者からのデジタル署名されたアプリケーションで幅広くダウンロードされているものは、新規に作成された Web サイトで公開されまだあまりダウンロードされていない未署名のアプリケーションに比べて、より良い評価を得ます。

現実の攻撃を解剖する

それではこの機能が現実の IE9 ユーザーをある攻撃からどのように防御するのか見てみましょう。以下の図は非常に大規模なマルウェア攻撃 (数十万ものダウンロード) のダウンロード トラフィックを示しています。アプリケーション評価機能は Web に現れたその最初の時点から、IE9 ユーザーにこの悪意のあるプログラムについて警告をしています。


実際のマルウェア攻撃のトラフィックとタイムライン

伝統的なブロック ベースの保護 (URL ブロックやアンチ ウイルス) は 11 時間後に機能しましたが、それは攻撃のアクティブな期間を過ぎた後でした。ユーザーにとってはアプリケーション評価が無い事についての IE のダウンロード警告が唯一の防御でした。この悪意のあるプログラムのダウンロードをクリックした IE9 ユーザーの 99% が、アプリケーション評価の不明なプログラムの警告からプログラムを削除するか実行しない選択をしました


SmartScreen
アプリケーション評価の未知のプログラムへの警告

この攻撃に対して、IE9 のアプリケーション評価は詐欺的な (言い方を変えれば非常に説得力のある) 攻撃を妨げ、多くのユーザーは自身で正しい判断ができました。この結果は、なぜ私たちが SmartScreen アプリケーション評価を IE9 に搭載したのか、その理由を示しています。99% のユーザーは感染を免れたのです。

これは現実での一例にすぎません。以下ではこの傾向を総体として強く維持する方法について検討します。アプリケーション評価は、現在の Web 上での大きなリスクとなっているソーシャル エンジニアリング攻撃に対する防御の大変革なのです。

速報: 評価は一般ユーザーのより良い判断に有益

IE9 ベータ版以来の IE9 利用者のデータを見ると、二つの大きなパターンがあります:

IE9 ユーザーにおけるマルウェア感染の劇的な減少
  • ユーザーは新しいアプリケーション評価の警告に対して 95% の割合でマルウェアを削除または実行しない事を選択しています
  • 私たちはアプリケーション評価が (既存の SmaerScreen URL 評価でのブロックに加えて) 1 か月あたりさらに 20万件以上の感染を防止したと推定しています。
高リスクの場合にのみ警告される洗練されたエクスペリエンス
  • プログラムと発行者は評価を確定する事ができるので、ユーザーが SmartScreen を有効にしている場合、ダウンロードされるプログラムの 90%でブラウザーからのセキュリティー警告は表示されません。
  • 私たちのデータによれば、警告は典型的なユーザーでは 1年に 2回表示されるだけです。
  • 任意の時点で、“未確認の警告” にも関わらずクリックした場合、25% から 70% の割合でマルウェアへの感染のリスクが生じます。

アプリケーションや発行者が現実の一般ユーザーから得られる評価は、この保護機能が機能するための中核です。ほとんどの人は見知らぬ人からオンラインで何かを購入する事については慎重になるでしょう。EbayEtsyAngie’s ListAmazon.com などのサイトでは、利用者がオンラインでの信頼についての判断に評価機能をどのように利用しているかが分かります。

IE9 ではユーザーがダウンロードするプログラムに対してコミュニティー評価の考え方を適用しています。ブラウザーでのユーザーのダウンロードについて私たちが収集したデータから、14個 のプログラムのうち 1個は後からマルウェアであると判断されました。一般利用者はより良い判断をするための情報を必要としています。

IE9 では、高いリスクをもたらすダウンロードは評価が未確立であるため、一般ユーザーに警告するのにアプリケーションの評価を利用します。評価の無いプログラムの 50% 以上は、その当日に Web 上に新たに登場したものです。1日単位で、IE9 でアプリケーション評価の警告を引き起こしたプログラムの 25% から 75% が、後にマルウェアであると判定されています。評価の確定しているプログラムと発行者では、警告は表示されません。

多くのユーザーはアプリケーション評価が確定していないプログラムを、ほとんど、または全くダウンロードしません。こうしたユーザーがそうする際、この警告は重要です。ユーザーは、この警告がめったに表示されないからこそ注意を払いやすいのです。私たちのデータでは、一般ユーザーはインフォームド チョイス (十分な情報を得たうえでの判断) をよく行っている事を示しています – ダウンロード元をチェックするのに時間を取り、またそれがダウンロードしようとしているものであるのか確認しています。SmartScreen アプリケーション評価により、ユーザーはマルウェアか正当なソフトウェアかを識別する作業をより良く行うことができます。

データを通じたより良いユーザー保護

私たちの目標は、一般ユーザーがダウンロードの際により安全で簡単なエクスペリエンスを得られるよう、Web 上のすべてのプログラムについて発行者の評価を確立する事です。IE9 ベータ版に至るまで、私たちは数十億のダウンロードを解析し、Web 全体にわたる信頼とアプリケーション評価の持続的なモデルを構成してきました。

こうした対応範囲の割合を維持するために、私たちは毎日数十億の情報要素を処理する、大規模で客観的な情報処理システムを構築しました。これらのシステムは継続的に新規および既存のアプリケーションと発行者への評価を構成しています。現時点で、有機的に確定された評価を持つ何万もの発行者と何百万ものアプリケーションがあり、さらに私たちはこれに日々刻々追加をしています。

一部のユーザーが、新規でまだ評価が確定していない正規のソフトウェアについて警告を目にする事があるかもしれません。私たちがコミュニティーから得た報告によれば、これは稀な例外です。確定した評価を持つ既存の発行者からの新規のプログラムは、発行者のコード署名証明書により発行者の評価を継承します。新規の発行者はダウンロードされる毎に自身のコード署名の評価を速やかに構築できます。現在までに一般ユーザーが目にした警告の 96% は未署名のプログラムが原因でした。残りの 4% の警告は過去にマルウェアと関連付けされた証明書か、評価を構成中の新規の証明書によるものです。一般ユーザーは、取引している相手を信頼してダウンロードしたい場合は、警告に関わらずクリックするというインフォームド チョイスができますし、そうしています。

開発者や発行者が評価を確立する方法

業界のベスト プラクティスに従うことにより、開発者は良い評価を得るプロセスを加速できます。たとえば、署名付きプログラムは未署名のプログラムに比べて典型的には二倍の速さで評価が定まります。私たちは Authenticode 署名によるプログラムへのデジタル署名を推奨しています。プログラムがマルウェアであると検知されないようにすることも同様に重要です。Windows Logo のプロセスもソフトウェア発行者の評価を確立するのに有効です。

安全は美

SmartScreen アプリケーション評価は日々一般ユーザーを保護しています。

皆さんの友人や家族に Internet Explorer 9 へのアップグレードを勧める多くの理由があります。安全であり続けることは、そうした理由の中でも大きなものです。

—Jeb Haber, 主任プログラム マネージャー, SmartScreen

広告

コメントする »

まだコメントはありません。

RSS feed for comments on this post. TrackBack URI

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中

WordPress.com で無料サイトやブログを作成.

%d人のブロガーが「いいね」をつけました。