ドライブ・バイ・ダウンロードとは？閲覧だけでマルウェアに感染する攻撃

ドライブ・バイ・ダウンロードとは？ざっくりと3行で

悪意のあるWebサイトを閲覧するだけでユーザーが何もダウンロード操作をしていないのにマルウェアが自動的にデバイスにインストールされるサイバー攻撃のこと
ブラウザやプラグイン（Flash・Java・PDFリーダーなど）の脆弱性を悪用してユーザーの許可なしに悪意のあるコードを実行させる手口で、正規サイトが改ざんされて踏み台にされるケースも多い
ブラウザ・OS・プラグインを常に最新状態に保つこと（ソフトウェアアップデート）が最も効果的な防御策で、脆弱性のパッチを適用することで攻撃の成功率を大幅に下げられる

【深掘り】これだけ知ってればOK！
よくある誤解
1. 有名なサイトは安全だからドライブ・バイ・ダウンロードは関係ないと思っている
2. ダウンロードしなければ感染しないと思っている
会話での使われ方
【まとめ】3つのポイント
よくある質問
この用語と一緒に知っておきたい用語
【出典】参考URL

【深掘り】これだけ知ってればOK！

ドライブ・バイ・ダウンロードの仕組みを理解しよう。攻撃者はまず悪意のあるWebサイト（または正規サイトを改ざんして）にエクスプロイトキット（脆弱性攻撃コードの集合体）を仕込む。ユーザーがそのサイトを訪問すると、エクスプロイトキットがブラウザ・プラグイン・OSの脆弱性を探索する。脆弱性が見つかれば、ユーザーの操作なしにマルウェアが自動ダウンロードされてインストールされる。

特に悪質なのが正規の人気サイトが改ざんされるケースだ。ユーザーは信頼しているサイトを訪問しているつもりなので警戒心が下がる。攻撃者は広告配信ネットワークを介して悪意のある広告（マルバタイジング）を配信する手法も使い、Yahoo!やGoogleなど有名サイトの広告枠が踏み台にされた事例がある。

ドライブ・バイ・ダウンロードへの効果的な防御策は4つだ。第一にソフトウェアの更新：ブラウザ・OS・プラグインを常に最新版にすることで既知の脆弱性を塞ぐ。第二にJavaScriptの制御：NoScriptのようなブラウザ拡張でJavaScriptの実行を制限する。第三に不要なプラグインの削除：使っていないFlash・Javaプラグインはリスクの原因になるため削除する。第四にウイルス対策ソフトの活用：既知のマルウェアパターンをリアルタイムで検出できる。

企業のWebサイト管理者も攻撃者の踏み台にされないための対策が必要だ。CMSのWordPress・プラグイン・テーマを常に更新して脆弱性を放置しない。管理者パスワードを強固にしてブルートフォース攻撃を防ぐ。WAF（Webアプリケーションファイアウォール）を設置して悪意のあるリクエストをブロックする。定期的なセキュリティスキャンで改ざんの早期発見を行う。

Flashの脆弱性は長年ドライブ・バイ・ダウンロード攻撃の主要な標的だった。毎月のように重大な脆弱性が発見され続け攻撃者に悪用されたことが、2020年末のFlashサポート終了の背景にある。現在のWebブラウザはFlashのサポートを完全に削除しており、Flashに依存したサイトは古い脆弱なブラウザを使い続けるユーザーにリスクをもたらしている。

よくある誤解

有名なサイトは安全だからドライブ・バイ・ダウンロードは関係ないと思っている

正規の人気サイトが改ざんされて踏み台にされるケースは実際に多い。攻撃者は悪意のあるサイトよりも訪問者数の多い正規サイトを標的にすることで、より多くの被害を一度に与えられるためだ。有名サイトだから安全という思い込みが危険につながる。

ダウンロードしなければ感染しないと思っている

ドライブ・バイ・ダウンロードの最大の特徴は「ユーザーが何も操作しなくても感染する」点だ。ブラウザやプラグインの脆弱性を突いて自動的にコードが実行されるため、「ダウンロードしていないから大丈夫」という認識は通用しない。

会話での使われ方

社内のPCが一台感染して調べたらドライブ・バイ・ダウンロードでした。そのユーザーはある業界ニュースサイトにアクセスしただけで、そのサイトが改ざんされていたようです。

セキュリティ担当者がインシデント報告で正規サイトを踏み台にした感染事例を説明している場面。

Flashプラグインが残ってるPCが何台かあります。Flashはサポート終了しているので脆弱性が修正されません。今すぐ削除してください。

IT部門の担当者が社内端末の脆弱性管理でFlashの削除を指示している場面。サポート切れのプラグインはドライブ・バイ・ダウンロードのリスクになる。

ブラウザとOSを常に最新版にしてください。ドライブ・バイ・ダウンロードは既知の脆弱性を突く攻撃が多いので、パッチを当てるだけで大半は防げます。

セキュリティ担当者が全社員向けの研修でソフトウェア更新の重要性を説明している場面。

【まとめ】3つのポイント

ユーザーが何もしなくても感染するゼロクリック感染のリスク：ブラウザやプラグインの脆弱性を突いてサイトを閲覧するだけで自動インストールされる点が最大の脅威で、ユーザーの注意だけでは防げないためシステム側の対策が不可欠だ
ブラウザ・OS・プラグインの最新化が最も効果的な防御策：既知の脆弱性に対してパッチを適用することで攻撃の大半を無効化できるため、ソフトウェアの自動更新設定と不要なプラグインの削除がドライブ・バイ・ダウンロード対策の基本だ
Webサイト管理者も踏み台にされないための対策が必要：CMSとプラグインの定期更新・WAFの設置・定期的なセキュリティスキャンにより自社サイトが攻撃の踏み台にならないことが社会的責任として求められる

よくある質問

Q ドライブ・バイ・ダウンロードとフィッシング詐欺の違いは何ですか？: A

フィッシング詐欺はユーザーを騙してパスワード等を入力させるソーシャルエンジニアリングの一種で、ユーザーが自ら情報を入力する行動が必要です。ドライブ・バイ・ダウンロードはユーザーが何も入力・操作しなくてもブラウザの脆弱性を突いてマルウェアをインストールする技術的な攻撃です。

Q マルバタイジングとは何ですか？: A

マルバタイジング（malvertising）は「malware（マルウェア）」と「advertising（広告）」を合わせた造語で、正規の広告配信ネットワークを悪用してドライブ・バイ・ダウンロードの悪意のあるコードを仕込んだ広告を配信する手法です。

Q Flashが廃止されたのはドライブ・バイ・ダウンロードと関係がありますか？: A

Flashの脆弱性は長年ドライブ・バイ・ダウンロード攻撃の主要な標的でした。毎月のように重大な脆弱性が発見され続け、攻撃者に悪用されました。AdobeはFlashを2020年12月に公式にサポート終了しましたが、背景にはセキュリティリスクの深刻さがあります。

Q ドライブ・バイ・ダウンロードを防ぐためにウイルス対策ソフトは有効ですか？: A

ある程度有効ですが完全ではありません。ウイルス対策ソフトは既知のマルウェアのシグネチャでパターンマッチングを行うため、ゼロデイ脆弱性を使った新しい攻撃には対応できない場合があります。最も重要な対策はブラウザとOSを常に最新版にすることで、ウイルス対策ソフトはその補完として位置付けるべきです。

この用語と一緒に知っておきたい用語

用語	この記事との関連
ダウンロード	ダウンロードは関連分野でよく登場する重要キーワードです。インターネット上にあるファイルやデータを、自分のパソコンやスマホに取り込んで保存する操作、それがダウンロードだ
サイト	サイトは関連分野でよく登場する重要キーワードです。関連する複数のWebページを、一つのまとまりとして束ねたもの、それがサイトだ
ドライブ	ドライブは関連分野でよく登場する重要キーワードです。データを記録したり読み出したりする役目を担う装置、それがコンピュータにおけるドライブだ
脆弱性	脆弱性は関連分野でよく登場する重要キーワードです。ソフトウェア・ハードウェア・ネットワーク設定などに存在するセキュリティ上の欠陥・弱点のこと。攻撃者に発見・悪用されると不正アクセスや情報漏洩につながる
プラグイン	本記事のテーマと実務上セットで使われることが多い用語です。ソフトウェアやブラウザに、後から好きな機能をちょい足しできる拡張パーツ（改造部品）のことだよ。

【出典】参考URL

https://www.ipa.go.jp/security/vuln/websecurity-HTML-1_6.html ：IPA「Webサイトへのサイバー攻撃とドライブバイダウンロード」
https://www.trendmicro.com/ja_jp/what-is/malware/drive-by-download.html ：トレンドマイクロ「ドライブバイダウンロード攻撃とは」
https://cybersecurity-jp.com/security-measures/18876 ：ドライブバイダウンロードの仕組みと対策