今回は趣向を変えて,複数の不正プログラムにより引き起こされる最新の脅威を仮想的に再現してみたい。トレンドマイクロでは現在最も多く発生している脅威のモデルを「Webからの脅威」と定義している。その最大の特徴は,インターネット経由のダウンロードなどにより複数の不正プログラムが侵入し被害を拡大し続けるというものだ。

 この攻撃の導入口として増加している攻撃方法として,正規Webサイトの改ざんがある。正規Webサイトを何らかの手段でハッキングし,そのコンテンツを変更する攻撃は古くからあったが,Webからの脅威のモデルにのっとった大規模な正規Webサイトの改ざん例としては,2007年6月に発生した「イタリアンジョブ」と呼ばれるケースが最初のものである。イタリアを中心に100以上の正規Webサイトが改ざんされた事例だ。

 この攻撃では,改ざんされた正規Webサイトには他の不正サイトへリダイレクトするHTMLタグやスクリプトが埋め込まれるだけで,表面上の変化はない。正規サイトにアクセスしたユーザーは知らないうちに不正サイトへリダイレクトされ,不正プログラムの侵入の危険性にさらされることとなる。

 「イタリアンジョブ」の発生以来,正規Webサイト改ざんの攻撃手法は定番化が進んだ。日本でも中小規模の改ざん事例が散発的に確認され続けてきた。そしてこの2009年3月以降,日本ではこれまでで最も大きな規模の被害に繋がる正規サイト改ざん事例が確認された。それが世界的に「Gumblar(ガンブラー)」ウイルスと総称される攻撃である。日本では初期に改ざんされたサイトの名前で今回の攻撃を呼ぶことが多いようだが,ここでは世界的な呼称に倣い「ガンブラー」とする。ちなみにこの「ガンブラー」とはリダイレクト先の不正サイトのドメイン名からとったものだ。

 では,ガンブラーの攻撃を例に,正規Webサイト改ざんによる被害を仮想的に再現してみよう(図1)。被害を受けるPC以外にWebサーバーを用意する。Webサーバー(テスト機1)のIPを10.10.10.80,被害PC(テスト機2)のIPを10.10.10.10と設定し,スタンドアロン・ネットワークで接続した。次に,被害PC上で不正スクリプトによるリダイレクトを確認するため,フリーの通信監視ユーティリティである「InetSpy」と「横取り丸」(この2つのユーティリティは連動して動く)をインストールし設定した。

図1●今回検証した環境
図1●今回検証した環境
ガンブラーウイルスと呼ばれる攻撃に使用された不正プログラムを用意し,一連の攻撃の流れを仮想的に検証する