2009/09/17
正規Web改ざんによるウイルス感染を防ぐには
正規のWebが改ざんされ、閲覧した人のパソコンがウイルスに感染してしまうという事件があとを絶ちません。
昨日まで普通に利用していたWebなので、利用者も「ウイルスに感染する」という意識が全くないことが多いものです。「怪しいサイトは見ない」といった心がけレベルの対策が通用しないのです。
また、Webサイト管理者側は、Web改ざんの被害者になると同時に、訪問者にウイルス感染させてしまう“加害者”になってしまいます。
Webサーバの管理に使われるFTPサーバのアカウント情報を盗みWebを改ざん、さらに別のFTPサーバのアカウントを盗む攻撃が確認されています。
2009年3月末に確認され5月頃まで被害の拡大が見られた、通称「Gumblar(ガンブラー)」と呼ばれる攻撃を例に、感染フローを見てみましょう。
公開中のWeb(A)が攻撃者によって改ざんされます。見た目にはわからない形でWebに不正なスクリプトを埋め込みます。Webの見た目には全く変わりがないため、見ただけではWebが改ざんされていることに気づきません。
利用者が改ざんされたWeb(A)にアクセスします。すると、書き込まれた不正なスクリプトによって、不正なWeb(B)に誘導されます。そこから、自動的にダウンローダ型ウイルスが送り込まれます。このウイルスには、しばしばセキュリティホールを悪用するものが使用されています。利用者のパソコンにセキュリティホールがある場合、即ウイルスに感染する可能性が高くなります。
Web(B)は、Webページが開くわけではないので、見た目にはウイルスがダウンロードされていることがわかりません。
入り込んだダウンローダ型ウイルスは、別の不正なWeb(C)から、情報漏えいを行うウイルスをダウンロードします。その中には、Webサーバの管理に必要なFTPサーバのアカウントとパスワードを盗むものがあります。
攻撃者は、ここで取得したアカウントとパスワードを使って、さらに別のWebを改ざんします。
⇒ 1)に戻り攻撃が拡大します。