Webサイトへの脅威について考える
「ガンブラー」はなぜ流行ったのか
今回のガンブラー系攻撃によるウイルス感染が拡大しているポイントをまとめてみました。
1.一般のサイトが改ざんされ、感染元になっている
2.サイトを閲覧しただけで感染してしまう
3.ウイルス対策ソフトでは検知できない場合がある
4.サイトを更新する際に必要なID・パスワードが盗まれる
1.一般のサイトが改ざんされ、感染元になっている
怪しげなメールや海外の素性のわからないサイトであれは警戒してメールを開かない、リンクをクリックしないといった注意も働きます。しかし今回は私たちが日常的にアクセスしているようなサイトが改ざんされ、ウイルス配布サイトへ誘導される状況が多く発生しています。この誘導についても、処理は画面上では何も表示に変化が表れず、自動で行われているため、表向きは何の一見何の変哲もないページからウイルスに感染してしまうことになるのです。
2.サイトを閲覧しただけで感染してしまう
また特定のリンクをクリックする、といった動作をすることもなく、ただ問題の改ざんが行われたページを見ただけで感染してしまう、という出会い頭の事故のような状況のため、これもまた事前の注意が行いづらいのが現状でしょう。
3.ウイルス対策ソフトでは検知できない場合がある
通常ですと、ウイルスが埋め込まれているページを見たとしてもウイルス対策ソフトを導入していれば事前にブロックしてくれますが、今回の攻撃で利用されているウイルスは新しいパターンが多く、ウイルス対策ソフトで検出されない場合もあるといわれています。
4.サイトを更新する際に必要なID・パスワードが盗まれる
クレジットカード情報などお金に関する情報を盗むような近年流行したウイルスとは異なり、今回はWebサイトを更新する際に必要なID・パスワードが集中して盗まれることが多く、これによってさらに多くのサイトがウイルス配布サイトへ誘導される状況へと改ざんされることになりました。
また別の状況として、近年マックマシンでウィンドウズOSを動かすことがことが容易になったことも関係していると考えられています。ウィンドウズマシンに比べてマックマシンに影響を及ぼすウイルスはこれまで圧倒的に少なかったため、「マックはウイルスにかからない」という意識からか、マックのOS、ウィンドウズのOSの双方にセキュリティソフトを導入することや各種ソフトの最新セキュリティパッチをあてるといった防御策をとっていないケースも少なからずあり、これによってWebサイト改ざんを受けた例があったそうです。
ソフト最新化でガンブラー感染防止 : サイバー護身術 : セキュリティー : ネット&デジタル : YOMIURI ONLINE(読売新聞)
http://www.yomiuri.co.jp/net/security/goshinjyutsu/20100115-OYT8T00912.htm
そもそも「ガンブラー」とは?
そもそも「ガンブラー」とはなんなのでしょうか。現状では「ガンブラー」とは特定のウイルスのことを指すのではなく、一連の攻撃手法の総称として用いられています。元々ウイルスの配布元ドメインが「gumblar.cn」だったために「ガンブラーウイルス」や「ガンブラー攻撃」と呼ばれていますが、実際は「SQLインジェクション」や「クロスサイトスクリプティング攻撃」といったWebサイト攻撃手法のひとつと考えたほうがよいでしょう。ガンブラー系の攻撃手法についてはシマンテックが以下のように解説しています。
「『ガンブラー』はウイルスの名前ではない」――シマンテックが解説 – ニュース:ITpro
http://itpro.nikkeibp.co.jp/article/NEWS/20100113/343113/
SQLインジェクションやクロスサイトスクリプティング攻撃といった攻撃手法は、Webサーバで動いているプログラムやデータベースのセキュリティ不備を突いて、データベースの書き換えや改ざんを行うものでしたが、今回のガンブラー系攻撃では、プログラムやデータベースを使用していない情報コンテンツ(htmlページ)のみのサイトでも改ざんを受けることになります。これは、ウイルスがパソコンに保存されているWebサイトを更新する際に必要な情報(FTP通信で使用するID・パスワード)を盗み、攻撃者側へ送信してしまうためです。これにより、事実上そのサイトは攻撃者に乗っ取られた形となり、サイトの改ざんや破壊が可能になってしまいます。
ガンブラーのようなウイルスの感染パターン(感染したパソコンからWebサイトを更新することで、アップしたファイルが自動で改ざんされ、それを閲覧した第三者がさらに感染するパターン)自体は昔からあるものでしたが、今回のガンブラー系攻撃の特徴は、手法を複雑化・巧妙化することで、最新のセキュリティソフトやWebブラウザ、PDFやフラッシュを閲覧するための各種ソフトなどのスキをついてパソコンに進入し、Webサイトを更新するためのパスワード情報を外部に送信し、攻撃者側からウイルスに感染するための改ざんを行う…とみられています。
どのような対策を講じるべきか
現状流行しているガンブラー系の攻撃は、Adobe Readerなどのコンテンツ閲覧ソフトをバージョンアップすることで防御ができるようになっています。しかし別の欠陥が発見されれば、その欠陥がふさがれるまでの間は同様の脅威が発生することになります。
このような攻撃に対して、私たちはどのような対策を講じるべきでしょうか。
感染を未然に防ぐということに注力するあまり、通常の業務に支障をきたすことも当然考えられます。
一切のインターネット閲覧をせず、メールの送受信を行わず、社内ネットワークを細かく分断して…というようなことを行えばウイルス感染はまず防げるでしょう。しかし(とりわけこの文章を読むような方にとって)そのような体制を構築して通常業務をつつがなく行うことができるでしょうか?
これはインフルエンザ対策に通ずるものがあるかもしれません。たとえば公共交通機関を一切利用せず、人に一切会わず、一切外出しなければインフルエンザにかかるリスクもぐっと減るかもしれませんが、通常社会生活を行っている以上は、人と接する状況は何かしら発生するはずです。
実際は予防注射を接種する、人の多い場所へ行ったあとはうがい手洗いを行う、それでも万が一感染したら人に感染させないように外出を避ける…というのが現実的な対策となるでしょう。
インターネットウイルスに対しても同様のことが言えると思います。感染を避けることばかりに固執し、Webでの情報発信に消極的になることよりも、通常の運用を行える上での対策(ウィンドウズプログラムの更新、セキュリティソフトの導入・更新、各種ソフトの最新セキュリティパッチ更新)などを行い、もし感染したとしても、感染が拡大しないような体制づくり(第三者がWebサーバにアクセスできない仕組みの構築など)を行なうことで、改ざんなどの被害を防ぐこともできるでしょう。今回のような攻撃に対する具体的な対策方法は以下でまとめられています。
サイバークリーンセンター(CCC)|ホームページからの感染を防ぐために
https://www.ccc.go.jp/detail/web/index.html
やみくもにウイルス感染を恐れるのではなく、セキュリティに関する正しい知識を身につけていくことで、適切な対策を講じることができるはずです。その上で積極的な情報発信を行うことこそが、大切なのではないでしょうか。