【WEBセキュリティー】新たなブラウザ攻撃手法が見つかる--ユーザーがウェブページを離れた後も有効

**へっぽこ立て子＠エリオット ★** · 2019/02/26(火) 13:58:27.77

　ユーザーが感染したウェブページを閉じたり、そこから離れたりした後でも、ユーザーのブラウザ内で悪意あるコードを実行できる新しいブラウザベースの攻撃がギリシャの学者らによって考え出された。
資料PDF
https://www.ndss-symposium.org/wp-content/uploads/2019/02/ndss2019_01B-2_Papadopoulos_paper.pdf

　「MarioNet」と呼ばれるこの新しい攻撃は、ユーザーのブラウザから巨大なボットネットを構築するための扉を開く。研究者によると、これらのボットネットは、ブラウザ内での不正な仮想通貨マイニング（クリプトジャッキング）、DDoS攻撃、悪意あるファイルのホスティング／共有、分散型のパスワードクラッキング、プロキシネットワークでの不正リレー、クリック詐欺の宣伝、トラフィック統計のかさ増しに使用できる。

　MarioNet攻撃は、ブラウザベースのボットネットを作成する同様の概念を発展させたものだ。この概念は、2007年に「Puppetnets」（パペットネット）研究論文で説明されている。
論文PDF
https://www.ics.forth.gr/_publications/TISSEC.puppetnets.2007.pdf

　両者の違いは、ユーザーがブラウザのタブを閉じたり、悪意あるコードをホスティングしているウェブサイトから離れたりした後も、MarioNetが有効であることだ。

　これが可能なのは、最近のウェブブラウザが「Service Worker」という新しいAPIをサポートするようになったからだ。この仕組みのおかげで、ウェブサイトは、ページのユーザーインターフェースをレンダリングする操作を、高負荷な計算タスクを処理する操作から分離させて、大量のデータを処理するときにウェブページの画面がフリーズするのを防ぐことができる。

　技術的には、Service Workerは、「Web Worker」と呼ばれる従来のAPIと異なり、一度登録してアクティブにすると、そのページのバックグラウンドで存在し続け、動作することができる。ユーザーがそのService Workerを読み込んだサイトを参照し続ける必要はない。

　MarioNetは、ブラウザでService Workerによって提供される機能を利用する。

　攻撃ルーチンは、ユーザーが攻撃者の制御するウェブサイトにアクセスしたときにService Workerを登録し、次に ServiceWorker APIのSyncManagerインターフェースのバックグラウンド同期機能を悪用して、ユーザーがそのウェブサイトから離れた後もService Workerがアクティブな状態を維持するというものだ。

　この攻撃はサイレントであり、ユーザーとのやり取りを一切必要としない。ブラウザはService Workerを登録する前に、ユーザーに警告を発したり、許可を求めたりしないからだ。

　さらに、MarioNetの攻撃では、攻撃ポイントを分離できる。ユーザーへの感染にはウェブサイトAを使い、後からサーバBを使ってService Workerを制御することができる。

https://japan.zdnet.com/storage/2019/02/26/3e8f1ef0bb56f0500ae3596cb028d9d7/marionet.png
提供：Image: Papadopoulos et al.
　これにより、攻撃者はトラフィックの多いウェブサイトに短期間だけ悪意のあるコードを配置して多くのユーザーベースを獲得して（悪意のあるコードを削除し）、別のセントラルサーバから感染したブラウザを制御し続けることができる。

　さらに、MarioNet攻撃はPush APIを悪用することによってブラウザの再起動後も影響力を持続することができる。ただし、ここでは攻撃者が、感染したホストからこのAPIにアクセスするためのユーザーの許可を取得する必要がある。

　MarioNet技術によって作成された後続のボットネットは、その後さまざまな犯罪行為に使用される可能性がある。

　Service Workerは数年前に導入されたため、MarioNet攻撃はほとんどすべてのデスクトップおよびモバイルブラウザで機能する。機能しないのは、（デスクトップ向けでは）IE、（モバイル向けでは）Opera MiniおよびBlackberryだけだ。

https://japan.zdnet.com/storage/2019/02/26/4c25c6cb6f32b6d8762176a050b5a480/marionet-compatibility.png
提供：Image: Papadopoulos et al.
　研究論文では、MarioNetがマルウェア対策のためのブラウザ拡張機能やマイニング対策から検出されないようにするための方法についても説明しており、ブラウザメーカーが取ることができるいくつかの緩和策も提案している。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
https://www.zdnet.com/article/new-browser-attack-lets-hackers-run-bad-code-even-after-users-leave-a-web-page/

2019年02月26日 12時01分
ZDNet Japan
https://japan.zdnet.com/article/35133271/

**名刺は切らしておりまして** · 2019/02/26(火) 14:11:38.04

**名刺は切らしておりまして** · 2019/02/26(火) 14:20:07.47

>>1
IEがセキュリティ上要請される時代が来たか、胸熱だな。

**名刺は切らしておりまして** · 2019/02/26(火) 14:29:36.79

任天堂の法務部が黙ってないな

**名刺は切らしておりまして** · 2019/02/26(火) 14:40:47.06

>>3
そしてIE攻撃コードが作られると・・・
ちなみに、マイクロソフトはIEのメンテナンスできる人誰も居ないよ。

◆ElliottbHk · 2019/02/26(火) 14:46:32.22

>>3
マジレスすると最新のAPIについていけてないだけなんですが(´･ω･`)

**名刺は切らしておりまして** · 2019/02/26(火) 14:47:50.15

こういうのが出てくるのは
サービスワーカーが搭載されたときに予測できてたよな
サービスワーカーの登録にいちいちダイアログ出したら面倒だし
解決方法って結構難しいんじゃないかな

**名刺は切らしておりまして** · 2019/02/26(火) 15:01:30.32

APIって事はどうせまたJavascriptから呼び出すんだろ？
ならJavascript切っとけばいいんじゃね

**名刺は切らしておりまして** · 2019/02/26(火) 15:24:26.81

AndroidやiPhoneでJavascriptオフにしときゃ問題ないってことでしょ？

**名刺は切らしておりまして** · 2019/02/26(火) 15:25:21.04

PCでネット閲覧すること自体がリスクってことでええか？

**名刺は切らしておりまして** · 2019/02/26(火) 15:35:41.94

>>7
以前にグーグルの開発者が
新機能としてService Workerを誇らしげに語っていた講演を見たことがある

その時に「もしも、悪意のある攻撃が怖いな・・・」
と思ってたが、
やっぱり、そういうのが実現されたな

**名刺は切らしておりまして** · 2019/02/26(火) 15:37:33.53

>>8
俺は、安全なサイトはクロームで見るが
それ以外のサイトはIEでしか見ない

でIEは
Javascript、ActiveXなど全部無効にしている。

現状コレ以外の対策が無い

**名刺は切らしておりまして** · 2019/02/26(火) 15:38:49.35

クロムを使わない方が安全ですｗ

**名刺は切らしておりまして** · 2019/02/26(火) 15:48:13.20

ホントウェブってクソだな。
もう使うの止めようぜ！

**名刺は切らしておりまして** · 2019/02/26(火) 16:06:12.08

>>1
ヘ

ッ

ド

ラ

壊

す

な
わざとヘッドラ壊すなしねぼけくそ野郎

**名刺は切らしておりまして** · 2019/02/26(火) 16:07:08.42

>>1ヘッドラ壊すなしねぼけくそ野郎

ヘ

ッ

ド

ラ

壊

す

な

し

ね

よ

**名刺は切らしておりまして** · 2019/02/26(火) 16:07:47.43

>>1
ヘッドラ壊すな

死

ね

**名刺は切らしておりまして** · 2019/02/26(火) 16:08:17.53

windows10は透け透けだけどな

**名刺は切らしておりまして** · 2019/02/26(火) 17:06:29.86

対策としては、
Service WorkerをKillするようなプログラムを作っておけば良いのか

⇒Service Workerを探知する
⇒そのプロセスIDを取得する
⇒それをkillする

これをクローム上でアドオンすれば良いのか

**名刺は切らしておりまして** · 2019/02/26(火) 17:59:23.24

よくわからんけどservice workerってこんなことが簡単にできるほどセキュリティ的にガバガバなん？

**名刺は切らしておりまして** · 2019/02/26(火) 19:19:42.86

ここも朝日汚染メディアか

**名刺は切らしておりまして** · 2019/02/26(火) 19:35:10.37

ボウイ博士スレになるのか

**名刺は切らしておりまして** · 2019/02/26(火) 21:08:42.26

>>1
pc使えないサイバーセキュリティー担当相は理解出来ないだろな

**名刺は切らしておりまして** · 2019/02/27(水) 00:08:17.53

なぜかギリシャの哲学者に見えた

**名刺は切らしておりまして** · 2019/02/27(水) 02:19:18.04

鏡の中の

**名刺は切らしておりまして** · 2019/02/27(水) 08:42:13.69

サイバー大臣に一言お願いしましょう

**名刺は切らしておりまして** · 2019/02/27(水) 09:15:56.91

Service Worker登録時にURLもペアにして記憶し、
ブラウザ開じるときに全サービスをオフ、
該当URLが開かれない限りサービスがONにならないようにすればええやん
登録URLがYahooとかに偽装されるんけ？

**名刺は切らしておりまして** · 2019/02/27(水) 10:49:42.24

>>27
そもそもService Workerの目的が
ブラウザが閉じてる時にも裏で処理が出来る事
＝バックグラウンド処理だからな

それを全否定するような提案してどーすんだよ、お前は

**名刺は切らしておりまして** · 2019/02/27(水) 11:05:28.32

Service Workerのセキュリティはサンドボックスで
ローカルデータと隔離することがメインだけど
今はネットアクセスできることやCPUリソース使えること自体が
セキュリティホールになるからなぁ
時代遅れになってるのかもしれないね

**名刺は切らしておりまして** · 2019/02/27(水) 11:15:26.27

>>29
それだね。
クラウドの時代だから、ローカルデータのアクセスできないようにしただけでは不十分。

**名刺は切らしておりまして** · 2019/02/28(木) 02:11:21.32

・俺の許可していない通信をするな
・俺の許可していないタスクを処理するな
・罰金取れ

**名刺は切らしておりまして** · 2019/02/28(木) 02:49:23.36

ブラウザを見てないときにプッシュ通知を有効にするあれか

**名刺は切らしておりまして** · 2019/02/28(木) 04:35:53.79

だから変な広告飛ばされた時から再起動まで不安定になるのか
高スペだと気付かなそう

**名刺は切らしておりまして** · 2019/03/10(日) 16:57:30.66

ブラウザ閉じてるときに動くのを許してるのが諸悪の根源

**名刺は切らしておりまして** · 2019/03/10(日) 17:18:57.74

よくわからんが、はよ対策しろと

**名刺は切らしておりまして** · 2019/03/10(日) 17:20:52.71

>>35
規格というか仕様上の問題だからちとかかるかと