Webサイトの改ざんには、前回解説した脆弱性を突く手口以外に、Webサイト管理者になりすます手口がある。管理者のアカウント情報(ユーザーIDとパスワード)を盗み出し、Webサイトに管理者としてログインするのだ。

 管理者のアカウント情報を盗む手口には、管理用PCにウイルスを感染させる手口と、管理者権限を持たない内部関係者がソーシャルエンジニアリングなどによって盗む手口に大別できる。

 前者では、ほとんどの場合、攻撃者は社外の人間であり、攻撃は社外から行われる(図1)。代表例の一つは、2009年から2010年にかけて猛威を振るった「Gumblar」ウイルスを使ったWeb改ざんである。

図1●窃取したアカウント情報を悪用する攻撃とその対策
図1●窃取したアカウント情報を悪用する攻撃とその対策
[画像のクリックで拡大表示]

 Gumblarが狙っていたのは、Webサイト管理者がメンテナンスなどに利用しているFTP用のアカウント情報だ。Gumblarは感染するとPCの通信を監視し、FTP通信を検知するとそのアカウント情報を窃取して攻撃者のサーバーに送信する。

 攻撃者はこうして手に入れたWebサイト管理用アカウントを使ってログインし、Webページを改ざん。ウイルス感染サイトに誘導するスクリプトを埋め込む。ウイルス感染サイトでは、アクセスしてきたユーザーのPCにGumblarを感染させて、別サイトのアカウント情報も狙う。これを繰り返すことで、大量のアカウント情報を入手したと考えられる。

 現在ではGumblarは鳴りを潜めているが、同様の手口が再び使われる可能性は高い。