ガンブラー攻撃とは「Webサイト改竄(かいざん)」と「Web感染型ウイルス(Webサイトを閲覧するだけで感染するウイルス)」を組み合わせ、多数のパソコンをウイルスに感染させようとする攻撃手法(手口)のことです。
このガンブラー攻撃は、悪意あるサイトへのアクセスだけで感染する可能性があることから、ひとたび流行すると多くの被害を出す可能性があります。この攻撃を予防するには、Web サイト管理者側ですべきことが主要な対策になりますので、こちらを主にご紹介するとともに、ユーザー側の対策と、感染した場合の対応について、まとめてご紹介します。
ガンブラー攻撃とは
ガンブラー攻撃とは、ドライブバイダウンロード (Drive-by download)によって、マルウェアを感染させる攻撃手法のことです。この攻撃は2010年に大流行しました。
近年ではガンブラーとよく似ている攻撃で、攻撃のターゲットを絞ってドライブバイダウンロードをさせることを手法とする「水飲み場攻撃」が比較的に多く検知されています。水飲み場攻撃の方がよりターゲットを絞り込み、誘導している、という点が違います。
ドライブバイダウンロードは、Webサイトに不正アクセスをし、ダウンロード可能なようにサイトを改ざんします。これは主にJava Scriptを使った不正プログラムをサイトに埋め込んでおきます。
これに対して、不特定多数のユーザーがWebサイトを訪問、ユーザー側の脆弱性を利用し、不正なWebサイトにリダイレクトする・あるいはユーザーにマルウェアがダウンロードされるように仕向けます。2010年の大量感染発生の時期には、Adobe ReaderやFlash Playerの最新版を用いないユーザーの脆弱性が狙われた事例が多発していました。
ドライブバイダウンロードに使われるサイトは、大手のWebサイトなど、普通は安全であると思われやすいサイトである例も多く見られ、そのため被害が拡大しやすいのです。表面上は怪しいサイトであるなどとは思えないところに、攻撃が隠れているので、警戒もしづらくユーザーにとって大変厄介です。
ガンブラー攻撃の流れ
ガンブラー攻撃の流れの典型例についてみると、攻撃の流れは次の通りです。
- 攻撃者が改ざん対象Webサイトのアカウント情報を盗む
- 管理者と同等の権限を攻撃者が手に入れてしまいます。
- Webサイトを改ざんし、マルウェアを設置
- マルウェアが設置されたことに気づかれないケースがほとんどです。
- ユーザーがWebサイトを閲覧
- マルウェアは、ユーザーの知らない間にダウンロードされ、実行されます。
- マルウェアに感染
- マルウェアに感染すると、ユーザー情報の漏えいをはじめとした被害が生じます。
ガンブラー攻撃の被害事例
ガンブラー攻撃は、2009年から2010年にわたって被害が相次いでいました。被害事例の主なものを見ると、大手サイトに対する攻撃が目立っています。いずれも、個人のアカウント情報が流出する被害を出しています。
- 自動車会社で売り出し中の車のWebサイトアカウントが流出し改ざん
- 大手コンビニチェーンのポータルサイトが改ざん
- 大手鉄道会社のキーワード検索ページが改ざん
ガンブラー攻撃を防止するための対策
ガンブラー攻撃を防止するには、Webサイト改ざんに対する対策を、Webサイト運営者が行うこと、そして、ユーザー側でも、サイトを閲覧する際に基本的なセキュリティ対策を施しておくことが重要です。
Webサイト運営者側のガンブラー攻撃対策
Webサイト運営者側には、ユーザーの個人情報の漏えいなどのケースでは多額の賠償金の請求や見舞金の支払いなどの経済的な損害が考えられます。また、サイトの信頼性がないと、営業利益に反映されてしまいますので、これらを踏まえて十分に対策しておくことが必要です。
定期的なFTPアクセスログの確認・FTPのアクセス制限
GumblarはWebサイトのページをアップロードするときに用いるFTPアカウントを乗っ取りウェブサイトを改ざんすることがあります。異常をすぐ検知できるように、FTPアクセスログを確認すること、またFTPは、アクセス制限をかけ、IPアドレスを限定することも対策として有効です。
FTPクライアント対策
FTPサーバにページをアップロードする際に使われるFTPクライアントを利用するコンピューターは、OS・アプリなどのソフトウェアを必ず最新のものにし、脆弱性をなくしておくことが必要です。
アップローダも最新化しておく必要があります。オープンソースが利用されているケースもよく見られますが、非オープンソースの製品を利用する・オープンソースを利用する場合では、セキュリティ最新情報に留意し、より安全なオープンソースを選ぶこととし、他の施策を強化して補完するなど工夫したほうがより安全に利用することができます。
改竄検知システム等の導入
攻撃を検知するWAF(Webファイアーウォール)などの利用で、早期発見につなげることもできます。バックアップサイト・サーバの利用や、通信遮断と組み合わせると、改ざんによる業務への影響や被害を最小限にとどめやすくなります。
連絡先の公開
ウェブサイト運営者がGumblarに感染した事に気付かず利用者からの連絡を受け、改竄が発覚するケースもあるため連絡先を掲載しておくことも対策になります。
ユーザー側の対策
ユーザー側の対策としては、ウイルスによる攻撃の予防ないし脆弱性の解消など、基本的なセキュリティ対策が必要です。これらの対策により、ウイルスの侵入を防ぐこと・もしも感染したとしても、被害を初期・最小限のものにとどめることができます。
ウイルス定義ファイルの最新化
ウイルス対策ソフトの定義ファイルは自動更新にし、なるべく早急に適用し、極力最新の定義ファイルを利用するようにしておきましょう。
最近のウイルスは、攻撃者が防御者の裏をかくことや、攻撃者が防御を交わすように遠隔コントロールをするケースなど多彩な攻撃が見られます。したがって、最新のウイルス定義ファイルを用いても、ウイルスを検知・駆除できないことがあることにも留意しておきましょう。
さらに、通信の遮断など、被害を拡大しないために他の手段を講じることも必要なことがあります。
セキュリティ更新プログラムの適用
OSやアプリケーションソフトウェアなどのセキュリティ更新プログラムも、極力最新のものを即時で適用しておきましょう。
Webサイト修正後でも閲覧には注意
普段利用しているサイトがGambler攻撃にあった、という情報があれば、サイトの修正を待って利用するようにしましょう。
なお、サイト修正後でも、改ざんコンテンツがキャッシュに残存している可能性もあり、場合によっては1週間以上残っているケースも見られます。
業務上、どうしても利用しなければならない、という場合以外はしばらくサイトの訪問を見合わせましょう。やむを得ず利用する場合は、検知ソフトや駆除の方法などもあらかじめ確認し、いざというときに対応できるようにしましょう。
ガンブラー攻撃を受けてしまった際の対策
ガンブラー攻撃を受けてしまった場合、Webサイト側・サイトのユーザー双方、影響を除去する必要があります。Webサイトの修正・ウィルスの除去がそれぞれの対応策になります。
Webサイトの修正は、すでに予防策としてご紹介したFTPアカウント対策(アクセスログの確認・パスワードの変更)、アップローダ等のソフトウェアの最新化などを同時に行うようにします。
ユーザ側で、万一ウイルス対策ソフトがインストールされていない場合には、無料で利用できるサービスやソフトなどを利用すること、またウイルス対策ソフトが導入されている場合でもそれだけに頼り切らず、セキュリティ部門への速やかな報告・連絡、回線からの隔離などの必要な措置を行うようにします。
まとめ
ガンブラー攻撃は、外表上から判別しにくい攻撃ですので、発見が必ずしも容易なものではありません。ただし、最新のセキュリティソフトウェア・ウイルスソフトウェア・検知サービスなど、最新の技術的な施策で対応することにより、Webサイト管理者・サイトユーザーそれぞれに攻撃に対する対策を打つことで被害を最小限にすることができます。
サイト管理者においては、アカウントの管理も大事ですが、加えてできるだけ早い検知が行えるように、WAF等の技術的な施策を行うことがサイト管理者においての対策のポイントになります。
