トレンドマイクロ リージョナルトレンドラボ
Gumblar攻撃の被害の多さは,不正プログラム感染被害の報告数からもうかがえる。トレンドマイクロへの2009年の感染被害報告では,Gumblar攻撃でダウンロードされることが確認されている不正プログラム(TSPY_KATES:カテスと呼ぶ)が4位にランクされた。
Gumblar攻撃は簡単に言うと,一般の正当なWebサイトを改ざんし,これをきっかけとして,そのサイトにアクセスしたユーザーのパソコンに不正プログラムを侵入させ,FTPアカウントなどの情報を盗む攻撃である。改ざんされたWebサイトにアクセスしたユーザーは,自動的に不正なサイトに誘導(リダイレクト)される。Gumblarという名称は,2009年4月ころにWeb改ざん攻撃が相次いだ際に,このリダイレクト先として使われた不正サイトのドメイン名に由来している。このため当初は,使われた不正プログラムがGumblarウイルスとも呼ばれた。
ただし,昨年末から急増しているGumblar攻撃は,2009年春のものとは少し違う。まず,リダイレクトされる不正サイトが,Gumblarドメインから次々に変わった。最近の攻撃例のほとんどはGumblarドメインとは無関係になっている。
リダイレクト先だけでなく,ダウンロードされる不正プログラム,ダウンロードの際に利用されるぜい弱性も多種多様で,不正プログラム名やドメイン名では一括りにできなくなっている。このため,これらの攻撃をGumblar攻撃と呼ぶことに違和感を覚える読者がいるかもしれないが,本稿では分かりやすくするため,Gumblar攻撃と呼ぶことにする。
手口は同じでも手段が刻々と変化
Gumblar攻撃で最終的にダウンロードされる不正プログラムに感染したコンピュータは,FTPにログインする際の通信を盗聴され,IDとパスワードを勝手に外部に送信される。このほか一部では,セキュリティ・ソフトの動作を停止させたり,ベンダーのWebサイトへの接続をブロックしてアップデートを阻害する例もある。
図1は2009年4月ころに確認されたGumblar攻撃の流れを示したものである。改ざんによって「JS_GUMBLAR」,「JS_AGENT」といったスクリプトを埋め込まれたWebサイトにユーザーがアクセスすると,このスクリプトが勝手に不正Webサイトに接続する。すると不正サイトから,Adobe Readerのぜい弱性を悪用するウイルス(TROJ_PIDIEFファミリ)などを自動ダウンロードし,さらに異なる不正Webサイトに誘導。別のウイルス(TROJ_SEEKWELファミリ)をダウンロードする。このウイルスがFTPのアカウント情報を奪い取る。
Gumblar攻撃は一時収まったように見えたが,2009年10月ころから再び注目を浴びるようになった。一連の動作は2009年4月に流行した攻撃と同様だったものの,誘導される不正Webサイトが以前とは異なり,送り込まれる不正ファイルもダウンローダ型からドロッパー型(ある不正ファイルが実行されることで別の不正ファイルを作成する)に変わっていた。さらに2009年12月ころの攻撃では,悪用するぜい弱性も変わった。トレンドマイクロでは,情報詐取の手段として偽セキュリティ・ソフトのインストールを行う動作を確認している(図2)。
このようにGumblar攻撃は,Webサイトの改ざんに始まり,不正Webサイトへの誘導,不正プログラムのインストールといった攻撃モデルが一貫している。ただ,ユーザーの環境やタイミングによって攻撃に使用するモジュールが変化するなど,時間の経過とともに攻撃が巧妙かつ複雑になっている。
では,刻々と変わる脅威には,どのような対策が有効か。エンドユーザーとWebサイト管理者,それぞれの視点から考えてみよう。
