本城信輔/McAfee Labs東京 主任研究員

 Gumblarは,ドライブバイ・ダウンロード(drive-by-download)攻撃の一つである。ドライブバイ・ダウンロード攻撃とは,Web サイトにアクセスしたユーザーのきちんとした同意を得ずに,マルウエア(ウイルス)を勝手にダウンロード・感染させる脅威だ。このうちWebブラウザやアプリケーションのぜい弱性を悪用する方法は,数年前から見られるようになった。今年1月には,「Operation Aurora」という,Internet Explorer(IE)のゼロデイのぜい弱性を悪用したドライブバイ・ダウンロード攻撃も発見された。

 2009年4月ころに発見された,元々のGumblar攻撃の流れは,図1の通り。大きく五つのステップがある。(1)攻撃者がWeb管理者になりすましてWebページを改ざん,(2)ユーザーが改ざんされたWebページにアクセス,(3)攻撃者のサイトへの不正リダイレクト,(4)ぜい弱性を悪用して不正プログラムをインストール,(5)不正プログラムがFTPアカウント情報を盗んで攻撃者のサイトに送付──である。

図1●初期のGumblar攻撃(2009年4月~)
図1●初期のGumblar攻撃(2009年4月~)
[画像のクリックで拡大表示]

 ステップ(2)から(4)のマルウエア感染までの流れは,まさにドライブバイ・ダウンロード攻撃である。ここで使われている手法は,従来から存在しており目新しいわけではない。Gumblar独特の流れはステップ(1)と(5)。ここが感染拡大に寄与した非常に特徴的なところである。(1)のWebページは,アクセスしてきたユーザーを攻撃者のサイトに不正リダイレクトするように書き換えられていて,ステップ(2),(3)…の流れが繰り返される。このループにより,Webページ改ざんとウイルス感染の被害が拡大していくわけだ。以下,各ステップについて詳しく見ていこう。

“見えない”ページが不正に誘導

 Gumblarなどのドライブバイ・ダウンロード攻撃による被害は,ユーザーが,不正に改ざんされたWebページにアクセスしてしまうことから始まる((2))。

 企業や団体のWebページを不正に改ざんし,別の不正サイトにリダイレクトする攻撃は,従来からあった。改ざんされたWebサイトは多くの場合,セキュリティ対策に問題がある。SQLインジェクション攻撃やSSH(セキュアシェル)などのパスワード破りなどによって不正アクセスされ,コンテンツを書き換えられる。ただし今回のGumblarでは,盗まれたFTPアカウントを使って侵入される(詳しくは後述)。この点が,従来のドライブバイ・ダウンロード攻撃との違いである。

 (3)の攻撃者のサイトへ不正リダイレクトの手法としては,ブラウザのインライン・フレームが悪用される(図2)。HTMLのIFRAMEタグを使い,一つのWebページ内を分割して異なるコンテンツを同時に表示する仕組みだ。IFRAME以外にも同様の機能を持つEMBEDタグなども悪用されている。

図2●IFRAMEによるリダイレクトとドライブバイ・ダウンロード攻撃
図2●IFRAMEによるリダイレクトとドライブバイ・ダウンロード攻撃
[画像のクリックで拡大表示]

 IFRAMEはそもそも,Webページ内に別のコンテンツを張り付けるためのもの。ところが,攻撃者が不正なコンテンツを挿入する場合にも悪用できる。例えばフレームの表示サイズを0に設定した“目に見えないフレーム”を挿入する。ユーザーの目には見えなくても,ブラウザはWebページを読み込み動作してしまうため,ユーザーは知らないうちに不正リダイレクトされる。