「4月ころから相次いでいるWeb改ざんは、2009年に猛威をふるった『Gumblar』と同種の攻撃と見られる」。トレンドマイクロでWebセキュリティやマルウエア解析の情報発信を担当する岡本勝之コアテク・スレットマーケティング課担当課長代理は2013年7月1日、本誌の取材に対して最近のWeb改ざんに関する見解を示した。
GumblarはWeb管理者のFTPアカウントを盗み出し、それを使ってコンテンツを改ざんして不正なスクリプトや不正なリンクを追加する攻撃だった。改ざんされたWebサイトを閲覧すると、不正なWebサイトに誘導されてマルウエアに感染する(関連特集:実践、Gumblar対策)。最近のWeb改ざんについて岡本氏は「FTPアカウントを乗っ取る、Webサイト上の多くのページを改ざんして不正スクリプトを埋め込む、スクリプトが難読化されている、といった特徴がGumblarとほぼ同じ」と指摘する。
IPAの発表によると、改ざんされたWebサイトの閲覧で感染するマルウエアの中には「FTPアカウントを盗み出す」という挙動のものがあった(関連記事:トヨタやリコーなど相次ぐWebサイト改ざん、IPAが対策を呼びかけ)。岡本氏は「大手企業のサイトが改ざんされ、そのサイトを閲覧した他社のWeb管理者がマルウエアに感染してFTPアカウントを盗まれる。そうした形で被害が連鎖している可能性がある」(岡本氏)と推測する。
Webサイトの改ざん手法にはSQLインジェクション、クロスサイトスクリプティングといった、Webアプリケーションの不備を利用するものもある。ただ、岡本氏は「システム側の対応が進んできており、SQLインジェクションやクロスサイトスクリプティングによる改ざんはそこまで多くないという印象がある」と見る。相次いだWeb改ざんの原因の“本命”はFTPアカウントの窃取というわけだ。
マルウエアに感染させる手段はGumblar時代より悪質
Gumblarが流行した2009年との違いは、マルウエアに感染させる手段が悪質化していること。2012年ころから「Blackhole Exploit Kit」(BHEK)と呼ばれる攻撃ツールが、アンダーグランドマーケットで取引されるようになった。このツールはパソコンの脆弱性を攻撃するために用いられる。攻撃者はBHEKで作成した不正サイトに、改ざんしたWebサイトから誘導する。BHEKはJava Runtime Environment(JRE)やAdobe Flash、Adobe Readerなどの脆弱性を突いて、パソコンの情報を盗み出すなどのマルウエアをインストールさせる。その際、パソコンのJREやFlash、Adobe Readerのインストール状況やバージョンを確認して、自動的に効果のある攻撃方法を選択する。
