企業の正規サイトを改ざんする「ガンブラー(Gumblar)」が猛威を振るっている。2009年末から2010年初めにかけて、国内有名企業の正規サイトがガンブラーの被害を受けた。しかし、その攻撃手口は決して目新しいものではない。トレンドマイクロ サポートサービス本部 セキュリティエンハンスメントサポートグループ Threat Monitoring Center 課長の飯田朝洋氏は、「基本的なセキュリティ対策を適切に講じていれば、高い確率で被害を防止できる」と話す。

(聞き手は、羽野 三千世=ITpro)


写真●トレンドマイクロ サポートサービス本部 セキュリティエンハンスメントサポートグループ Threat Monitoring Center 課長の飯田朝洋氏
写真●トレンドマイクロ サポートサービス本部 セキュリティエンハンスメントサポートグループ Threat Monitoring Center 課長の飯田朝洋氏
[画像のクリックで拡大表示]

まず、ガンブラーとは何ですか。

 ガンブラーとは、Webサイトを改ざんし、サイトへの訪問者を悪質なサイトへリダイレクトしてウイルスに感染させる「サイト誘導型」攻撃に対する呼称です。サイト誘導型攻撃は2006年くらいから観測されていましたが、2009年5月にリダイレクト先サイトのドメイン名が「gumblar.cn」のサイト誘導型攻撃が話題となったことを契機に、その後はこうした手口の攻撃全般がガンブラーと呼ばれるようになりました。現在ガンブラー攻撃と呼ばれているものは、リダイレクト先が「gumblar.cn」とは限りません。

 しかし、ガンブラーの攻撃手口は昔から変わっていないものの、リダイレクト先で感染するウイルスは日々進化しており、脅威の度合いは高まってきています。攻撃者の目的は、個人パソコンや企業システムから金銭につながる情報を盗むことにあります。最近ではコンピュータからクレジットカード情報を収集して攻撃者に送信するウイルスなどがリダイレクト先サイトからダウンロードされる被害が報告されています。

今、再びガンブラーが話題になっています。

 2009年末から2010年初めにかけて、国内の有名企業・団体の正規サイトがガンブラー攻撃の被害を受けたため、再び注目を集めています。

 今回の攻撃では、リダイレクト先サイトから、FTPサーバーのログイン情報を盗むウイルスがユーザーのパソコンにダウンロードされる事例が観測されました。「TSPY_KATES」ファミリーに属するこのウイルスは、正規サイトへの訪問者のパソコンから、Webサイトの更新や変更に使われるFTPサーバーのアカウントとパスワードを収集し、攻撃者へ送信します。

今回のガンブラー攻撃によるWeb改ざんには、盗まれたFTPサーバーのログイン情報が使われたのでしょうか。

 各社の正規サイト改ざんに使われた手口は調査中の段階ですが、盗まれたFTPサーバーのログイン情報が使われた可能性は低いと考えています。それは、ガンブラーは特定のターゲットを狙うタイプの攻撃ではないためです。今回の攻撃では、国内有名企業の正規サイトがWeb改ざんの被害に遭いましたが、ガンブラー型の攻撃によって有名企業のWebサイト管理者のパソコンにウイルスをダウンロードできる確率はわずかです。

 一般的に、Web改ざんの手口はWebアプリケーションのぜい弱性を攻撃する「SQLインジェクション」が主流です。今回のガンブラー攻撃によるWeb改ざんにも、SQLインジェクションが使われた可能性があると推測しています

 とはいえ、FTPサーバーのログイン情報が攻撃者の手に渡ることは大きな脅威であることは間違いありません。アカウントとパスワードを使ったFTPサーバーへのアクセスは、IDS(不正検知システム)などで検知できないので、攻撃者はいったん情報を盗んでしまえば、ほぼ100%の確率でWeb改ざんに成功します。Webサイトを持つ企業は、FTPサーバーのログイン情報を狙うウイルスが存在することを認識し、早急にセキュリティ対策を講じるべきです。

具体的には、どのような対策が有効でしょうか。

 とても基本的なことですが、FTPサーバーのアカウントとパスワードを定期的に変更することが有効です。しかし、企業ではWebサイトのバックアップ/更新をバッチ処理で自動化していることが多く、現場のサイト運用者にヒアリングすると、こうしたアカウント、パスワードの定期変更といった対策を取るのは簡単ではないという声が多く聞かれます。

 しかし、まだWeb改ざんの被害が出ていなくても、すでにログイン情報が漏えいしている可能性があります。サイト管理者は、今回のガンブラー再燃をきっかけに、サイトの運営方法を見直してみてはいかがでしょうか。

そのほか、Webサイト管理者がとるべきガンブラー対策はありますか。

 まずは、最新のセキュリティ製品を使って、Webアプリケーションのぜい弱性を検出/修正してください。前述のように、ガンブラーによるWeb改ざん手口にはSQLインジェクションが使われている可能性があるためです。

 それから、もしガンブラー攻撃を受けたときにサイト訪問者へのウイルス感染被害を最小限にとどめるには、Web改ざんを早急に検知することが重要になります。そのため、日常のサイト運営にWeb改ざんをチェックする仕組みを取り入れてください。Webページ・ファイルの差分の確認は、専用のプログラムがあればできます。また、サイトの更新頻度が決まっている場合は、ファイルのタイム・スタンプを確認すれば不正な改ざんを発見できます。動的に変化するサイトであっても差分を確認する技術はありますので、システム・ベンダーに専用スキームを作成してもらうとよいでしょう。

サイトにアクセスするエンドユーザー側のガンブラー対策を教えてください。

 まず、パソコンに最新のパッチを適用し、WindowsやAdobeアプリケーションのぜい弱性を確実に修正することです。ガンブラー攻撃のリダイレクト先サイトには、Windows、Adobe Flash、Adobe Reader、Java Runtime Environment(JRE)などのぜい弱性を検知する仕掛けが施されており、これらのソフトが最新の状態でないパソコンで改ざんサイトへアクセスすると、ウイルスに感染してしまいます()。

図●ガンブラー攻撃の仕組み<br>出典:トレンドマイクロ
図●ガンブラー攻撃の仕組み
出典:トレンドマイクロ
[画像のクリックで拡大表示]

 それから、最新のセキュリティ・ソフトを使うことも有効です。最新ソフトのWebレピュテーション技術を使えば、ガンブラー攻撃による悪質サイトへのリダイレクトを96%ブロックすることができます。

 どちらも、昔から言われているセキュリティ対策の基本ですが、基本を徹底することで、ガンブラー攻撃の被害は高確率で防止できるのです。

■変更履歴
記事公開当初、ガンブラー攻撃によるWeb改ざんはSQLインジェクションによるものだという誤解を招く表現があったため、これを修正しました。 [2010/1/22 15:40]