社内でランサム祭りになる前に 怪しいサイトの探し方

*概要の記事であって考慮すべき点は複数ありますので
 本番環境での適用は知見ある人間を混ぜて実施してください*

**ブログ見ただけで知った気になったり、根拠資料みたく印刷して営業かけてる
  自分の手で知識を得ないような似非セキュリティエンジニア(特に大手SIerやPCメーカ系)
  による転載・利用を固くお断りしています。**

最近は「大手検索エンジンで検索結果に出てきたサイトをクリックしたらランサムウェアかかった」
という事象が弊社のお客様に限らず話題になってきました。

サンドボックスの製品買ってもいいかもですが、
人手があったり本業疲れた時の息抜きがてらに事前収集するのも手かと。

やらないよりいいかもしれませんが、効果は薄いです。
あきらめてProxyサーバの設定をホワイトリスト(ホワイトカテゴリ)型にしてください。

1.大手検索エンジンで変なキーワード入れる
ランサムウェアサイトホイホイ1
(ポイントは普通はショッピングサイトで売ってないような組み合わせ。
 これだとグッチってカーナビ作ってない(はず)なので。 「鮮魚 ドルガバ」とか。)

2.変なサイトがいろいろ出る
ランサムウェアサイトホイホイ2
(注:変なサイトじゃないのも混ざって出てくる。変かどうか判断基準とかはいずれ記事書きます。
   ただ、社内でもともとショッピングサイト閲覧NGと決めてるなら、
   変じゃないサイトもブロックして良いことになるので気軽に全部止める方針でいけそう)
(よい子は開かないでね。開いてもいい環境作ってやろうね)

補足:ちなみに開くとこんなの
ランサムウェアサイトホイホイ3

3.ProxyとかDNSとかで止める
 これは各々の環境なので省略。

**慈善団体だったり一企業のサイトが改ざんされているパターンばかりなので
  いつかブロックを解除する日を考えなければいけないのかも**

<これ、自動化できないのか>
GoogleのAPIでツール作れます。無償で100回×10結果まで検索可能。
ただ、結局キーワード何するかとか、誤爆してないか(正規のサイト閉めちゃってないか)確認は目視がいいので
重複排除とかまでツール作りこまない限りは効率あがらないと思われる。

<効果薄いのになんでこんなことするのか>
とか言って製品売るだけの人になりたくないから。
これをやってて
ランサムウェアサイトホイホイ4
「あれ?!政府のサイトやられてるんじゃない??」とか、
「検索サイトからクリック」と「直接アドレスを打った場合」でサイト表示内容が異なるとか、
いろいろ得られるはず。
「リファラに検索エンジンのドメイン無いとマルウェアくれない」場合って
「検知逃れ」にも見えるけど逆手に取れば「リファラをProxyで消しちゃえばランサム回避に貢献できるのかも?」
ってお金かけずにできる対策が見つかることもあるはず。

次は、IE8を使い続けながらセキュアなWebサーフィンをする方法を。