Webサイトを改ざんし、閲覧者を気づかないうちに不正サイトにリダイレクトしてマルウエア(不正プログラム)を感染させるガンブラー(Gumblar)。国内では2009年末から、ガンブラーによる被害が相次ぎ、大手企業のWebサイトが次々に改ざん被害に遭った。ラックの西本逸郎 取締役 常務執行役員 最高技術責任者に、ガンブラーの現状や対策方法などについて聞いた。(聞き手は中井奨=日経コンピュータ)
ガンブラーによる被害が、依然として続いている。
ガンブラー攻撃は、攻撃者がWebサイト管理者のFTPアカウントを盗み取って悪用し、Webサイトを改ざんした上で、マルウエアを感染させるサイトに誘導する。当社では、ガンブラーを早期発見するために「ガンブラーマップ」と呼ぶ独自の分布図を作成し、監視を強化しているところだ。ガンブラーマップは、FTPアカウント情報を盗み取るホストコンピュータと、FTPサーバーに不正ログインして改ざんするホストコンピュータの所在地を地図上で確認できる。
Webサイトの改ざんを甘く見ている企業は意外に多いようだ。Webサイトの担当者に、改ざんされていることを指摘しても、外見は変わっていないので「どこがおかしいのか」と怒られることもある。その場合には、Webサイトのソースを確認してもらって、改ざんの実態を理解してもらう。
ガンブラーによるWebサイト改ざんは、誘導先のサイトからマルウエアを利用者に感染させる危険性を伴う。このため、企業は修復のために、一時的にWebサイトを閉鎖しなければならなくなる。ECサイトのように、Webサイトがビジネスに直結する企業であれば、Webサイトの閉鎖がビジネスに与えるダメージは大きい。
Webサイトが改ざんされると、復旧までにどれくらいの時間がかかるのか。
Webサイトの規模にもよるが、早ければ一晩のうちに復旧できる。ページ数が数万に及ぶ大規模なサイトであったり、Webサーバーを再構築したりする場合には、1週間から10日間かかるケースもある。
万が一Webサイトが改ざんされた場合でも、迅速かつ冷静に復旧に着手することが大切だ。改ざんで会社が倒産に追い込まれるということは通常はありえないのだから。
ガンブラーで、サイト閲覧者はマルウエアに感染するリスクを負う。
ガンブラーによる一連の被害では、主にWebサイト改ざんという分かりやすい被害が注目を集めている。だが、それだけではなく続くマルウエアの感染という脅威を忘れてはいけない。サイトが改ざんされて誘導されたサイトからダウンロードしたマルウエアが、実際にどのような被害をもたらすのかを認識する必要がある。攻撃者の真の狙いはそこにあるのだから。例えば、我々はガンブラーによって感染するマルウエアの一つとして、Windows OSのぜい弱性を悪用する「Conficker」の亜種を確認している。
かつてのSQLインジェクション攻撃も、ガンブラーと同様にWebサイトを改ざんして、マルウエアを感染させるサイトに誘導する手口だった。違いは何か。
SQLインジェクション攻撃は、ぜい弱性のあるサーバーに直接攻撃を仕掛け、データベースやコンテンツを改ざんするというものだった。だが、今ではSQLインジェクション攻撃によるサイト改ざんはほとんどない。なぜなら、FTPアカウントを使って改ざんする方が、攻撃者にとっては楽だからだ。SQLインジェクションでは、データベースを改ざんしようとしてもタグが認識されなかったり、改ざんした痕跡が分かりやすいので、攻撃する側にとっては効率が良くない。
ガンブラー対策として、企業は何をするべきか。
Webサイトの改ざんを検知する技術を導入することも有効だが、まずはWebサイトが改ざんされないような対策に着手するべきだ。例えば、FTPアカウントを盗まれた場合でも、FTPの利用を制限することで、遠隔からFTPアカウントを悪用して改ざんできないようにできる。
ガンブラーの攻撃そのものを未然防止することは難しい。FTPアカウントを取られても悪用されないといった具合に、ガンブラーの攻撃に遭うことを想定して、対策に取り組む必要がある。
