 |
||||
 |
 |
 |
|
広報誌 ネット&ライン>No.131 |
|
 |
 |
 |
 |
| 情報セキュリティ技術対策の紹介(ネットワークセキュリティ) 〜セキュアポイント〜14 |
|
「Webサイトを利用した攻撃の対策」については、セキュアポイント11で御紹介したところですが、今回は、現在も活動が続いている「Gumblar(ガンブラー)攻撃」に焦点をあて、その攻撃手法、対策方法等について御紹介します。
2009年12月から2010年1月にかけて有名企業のWebサイトを改ざんし、注目を浴びたのがGumblarです。Gumblarが初めて観測されたのは2009年4月で、攻撃者が用意していた誘導(リダイレクト)先の攻撃サイトのドメイン名が「gumblar.cn」であったことからこの名が付けられました。 |
Gumblarの攻撃手法に共通する特徴は以下のとおりですが、継続的に様々な改造が加えられ、Gumblar.X、Gumblar.8080といった複雑化、巧妙化した新たな攻撃手法の仕組みに変化しています。
(攻撃手法の特徴) ●正規のWebサイトに不正なコードを組み込み、ユーザが気づかないうちに攻撃者の用意する攻撃サイトへ誘導する。
●ユーザのPCにインストールされているソフトウェアの脆弱性を利用して、ユーザのPCにマルウェア(コンピュータウイルス、ワーム、スパイウェアなど悪意のこもったソフトウェアの総称)を感染させ、FTP[File Transfer Protocol]アカウント(ホームページデータをウェブサーバへアップロードする時に使う接続ID)を盗む。
●盗んだアカウント情報を用いてWeb改ざんを行い、誘導用のWebサーバを増やす。
(攻撃手法の変化)
|
Gumblarは、誘導先の特定ドメインの停止により終息しましたが、Gumblar.Xは、日本のIPアドレスからの接続制限により一時的に終息したものの、2010年2月に活動を再開し、Gumblar.8080は依然として、活動が確認されています。
(背景にある問題) ●被害(Webサイト管理者PCのマルウェア感染、FTPアカウントの盗難、管理するWebサイトの改ざん)に気付かないという問題
●セキュリティ対策が不十分なPCでサーバを運用管理し、FTPアカウント情報が盗まれてしまうというパスワード管理の問題
●改ざん後のWebコンテンツのチェックが不十分で、他のファイルの改ざんを見過ごしてしまうWebコンテンツのチェックの問題
 画像をクリックして拡大してご覧いただけます。
|
◆ユーザ向け
他団体、企業等のWebサイトを利用するユーザとしての対策が必要となります。(対策の詳細は、セキュアポイント11で紹介しています。)
●セキュリティパッチの適用
●Webブラウザのセキュリティ設定レベル変更
●ウイルス対策ソフトの使用
●不用意なWebアクセスの禁止
◆Webサイト管理者向け
各市町村で提供するWebサイトが改ざんされないようにするためにも、Webサイトを管理する管理者側からの対策が必要となります。
(感染前対策)
●Webサイトの更新ができるコンピュータを制限し、ウイルス感染のチェックを行う。
●Webサイトで公開しているコンテンツに不正なプログラムが組み込まれていないこと、コンテンツが改ざんされていないことを常に確認する。
(感染後対策)
●Webサイトのメンテナンスを行うPC等からウイルスを駆除する。
●使用していたFTPアカウントを変更する。
●改ざんされたウイルスへのリンクの削除、ブラウザのキャッシュ消去、不正なプログラムファイルの削除を行う。
Webサイトの管理を委託している場合は、委託先にも同様のセキュリティ対策を実施してもらう必要があります。
参考文献:「踏み台にされるWebサイト〜いわゆるGumblarの攻撃手法の分析調査〜」
(一般社団法人JPCERTコーディネーションセンター) |
 |