Security Report

ガンブラーの脅威とその対策

ガンブラーとは

最近は、『危険なサイト』だけではなく、いつも見ているサイトがある日突然、ウイルス配信サイトへのリンクを埋め込む改ざんが行われ、そのサイトを見た人のパソコンが感染する被害が増加している。これらの改ざんを引き起こしている原因の多くは、『ガンブラー』と呼ばれる手口によるものである。

『ガンブラー』は2009年末から2010年初めにかけて世界中で大感染を引き起こした。有名企業や公共機関のWebサイトにまで被害が及んだことにより、テレビや新聞といった一般メディアでも『ガンブラー』は取り上げられ、より注目を集めた。

世間を騒がした『ガンブラー』を、一度は耳にしたことあるのではないだろうか。『ガンブラー』は一部の報道において、ウイルスやマルウェアの一種と混同されることがあるが、実際にはこれらの名称ではない。


『ガンブラー』とは特定のウイルスを指すものではなく、悪意あるもの(攻撃者)が複数の攻撃手段を併用し、多数のパソコンに様々なウイルスを感染させようとするために行う、一連の手口のことをいう。このため、『ガンブラー』について理解するには、攻撃者、被害者、そしてウイルスといった個々の要素だけではなく、それらがどのように関係しているかを知る必要がある。

手口

ガンブラーは主に、Adobe ReaderやFlash Player等の脆弱性をついて、企業のWebサイトなどに不正にJavaScriptのコードを挿入し、正規のWebサイトを改ざんする。改ざんされたWebページを閲覧すると、ユーザが気づかないうちに不正なWebサイトへと誘導される。ここで別の様々なマルウェアやコンピュータウイルスに感染する恐れがある。不正サイトへの誘導は、閲覧者に気づかれずに行われるため、知らない間に感染被害に遭う可能性が高い。

この攻撃の脅威は、ユーザが「安全だと思って」アクセスしているWebサイトであるという点だ。たとえ、不正なWebサイトにリダイレクトされたとしても、見た目は元のページと変わらないページが表示されるのだ。セキュリティ意識の高いユーザであっても、日常的にアクセスしているページや信用できる企業のページを閲覧中にウイルス被害に遭うとは考えにくいだろう。また、Webサイトを運営している企業や個人にとっても、自らのWebサイトがウイルス配布元に見えてしまうため、信用を失いかねない。


Webサイトを改ざんしようとする攻撃者にとって、まず必要となるのが攻撃対象サイトの「管理用アカウント情報」だ。そこで、ターゲットとなるのが、一般的に使われることが多い「FTPクライアント」のアカウント情報である。FTPはその仕組み上、クライアントとサーバが通信する際にパスワードが暗号化されないため、アカウント情報が簡単に盗まれてしまう可能性がある。

攻撃者はこうして盗んだアカウント情報を使い、正規のユーザに成りすまして改ざんしたページをWebサーバに公開する。改ざんされたWebページには、不正なスクリプトが埋め込まれ、そのページを閲覧した一般利用者を、ウイルスが仕掛けられた悪意あるWebサイトにアクセスさせる。

以下に改ざんに至るまでの仕組みを図に示した。

  1. 誘導サイトの作成
  2. 攻撃者は、難読化された不正なJavaScriptコード(誘導コード)を正規サイトに埋め込む
  3. 利用者が改ざんを受けた正規サイトにアクセスする
  4. 攻撃サイトへの誘導
  5. 誘導コードにより、悪意あるWebサイト群(ウイルス配信サイト、攻撃サイト)に誘導される。(このような動きをリダイレクトと呼ぶこともある)
  6. 誘導先の悪意あるWebサイト群は、アプリケーションの脆弱性を悪用し、パソコンにダウンロードしたマルウェア、いわゆるガンブラーに感染させる
  7. マルウェアは、アカウント情報等を盗み出した後、攻撃者に送付する
  8. 攻撃者は、集めたアカウント情報を利用して、誘導コードを新たな正規サイトへ埋め

対策

ガンブラーは複雑な手口により利用者をウイルスに感染させるものであるが、一連の手口の中で使われている個々の手法は、特に新しいものではない。従来と変わらず、基本的なウイルス対策を漏らさず実施していくことで、十分防御していくことが可能だ。以下に対策の一例を示す。


ガンブラーはWebサイトを「改ざんする攻撃」ではなく、「改ざんすることによって攻撃を有効にする」ものである。つまり、改ざんのために使用するIDとパスワードをしっかり管理することで、ガンブラー被害の可能性を大幅に下げることが出来る。

Web製作者や管理者が利用するPCにしっかりとしたウイルス対策を施すことはもちろん、IDやパスワードを厳重に管理し、定期的に変更することで漏えいを防ぐことが重要だ。制作や管理業務で利用するパソコンでは、必要のないソフトウェアの使用やサイト閲覧を禁じ、関係者のセキュリティ意識を高めるなど、一般的なセキュリティ対策をもう一度見直し、徹底する必要があるだろう。


サーバにファイルをアップロードする際には、サーバのとの通信時に暗号化が行われるSFTPやFTPSを使うようにする。そのほかにも、パスワードのほかに鍵認証を利用できるSCP対応のクライアントを使えば、より安全性が高まる。ただし、これらのクライアントを使用した場合でも、パスワードや鍵ファイルが漏えいする可能性が完全になくなるわけではないので、充分注意する必要がある。


また、内部の人間がガンブラーを仕組む可能性は低いため、FTPサーバにアクセスするIPアドレスなどに制限を掛けることも有効だと考える。

攻撃者はFTPサーバのアカウントを取得後、いったんFTPサーバのindex.htmlファイルや「.jsファイル」をダウンロードする。そのうえで、不正プログラム配布サイトへ誘導するjavaScriptをファイルの文末に追記した後、再度アップロードする。このため、FTPサーバに対するGETリクエストを拒否し、Web管理者からのPUTによるコンテンツ更新だけを許可するような運用方法を限定しておけば、被害の発生を抑えられる。


ガンブラーによる改ざん攻撃を受けると、ある特定パターンの痕跡が残る。そのため、改ざんを検知するには怪しい文字列を探せばよい。ただ、文字列は非常に多くのバリエーションがあり、探し出すことは容易ではない。ファイルの更新時刻情報を基にして、メンテナンス時以外に更新されたファイルをチェックするのも一つの手だ。一番良い方法としては、正規コンテンツのハッシュ値を事前にとっておき、これと比べることである。


もっとも手軽に実施できるのが、FTPで接続できるアドレスを必要な接続元だけに制限することだ。ファイアウォール、FTPサーバの設定など、いずれで制限しても問題ない。しかし、今後FTPサーバに何らかの脆弱性が見つかった場合に備え、ファイアウォールで制限する方が望ましい。動的IPアドレスを使用しているユーザに接続を許可する必要がある場合は、そのユーザが使用しているインターネット接続事業者(ISP)のネットワークごとに許可するだけでも効果は見込める。


多くの場合、見慣れない海外のIPアドレスからFTPサーバに接続してくるため、現状ではFTPの接続元制限は非常に効果的である。この種の攻撃が進化し、FTP認証情報の接続先IPアドレスに合わせて、その情報を盗んだクライアントPCを踏み台にするようになると、接続制限による効果はなくなってしまう。


万が一Webサイトが改ざんされた場合、被害の拡大を防ぐために早急な対応が求められる。まずは、Webサイトをいったん公開停止したうえで、原因究明及び修正作業を実施する。

FTPのログに不審なアクセスログがあった場合、Webページの公開に利用しているFTPアカウントを乗っ取られて、悪意あるページをアップロードされている可能性がある。ただちに、FTPアカウントのパスワードを変更し、その後、正規のページに不正なスクリプトが含まれていないことを確認したうえで、改ざんされたページと置き換えて、再公開をする。


パスワードの変更後も、同様の手口でサイト改ざんされた場合は、パスワードの変更を行ったパソコンがスパイウェアに感染して、、情報が漏えいしている可能性が高いと考えられる。パソコンを不正なプログラムがないクリーンな状態に(初期化)してから再度パスワードを変更し、再公開を実施する。

原因を排除し、改ざんページの修正、再公開を完了させた後、Webサイトの利用者に向けた、改ざんの事実とウイルスに感染する危険性があった旨の注意喚起、及び謝罪文を掲載することを推奨する。また、利用者からの問い合わせ対応を行う窓口を用意することが望ましい対応といえる。

過去に被害に遭った企業の中には、ガンブラー被害に遭ったことを公表せず、数日間閉鎖せずに放置していたケースがある。このような対応では、ウイルス感染や個人情報漏えいの危険性が拡大するだけではなく、企業としての信用も失いかけない。多少の不利益や機会損失があっても、すぐにWebサイトを閉鎖して対応することが被害を最小限に食い止めることにつながる。

まとめ

『ガンブラー』とは、複数の攻撃手段を併用し、多数のパソコンに様々なウイルス感染をさせようとする一連の手口を指す。

ガンブラーによる被害

ガンブラー対策