“Gumblar型”マルウェアに対抗、セキュリティ企業らが任意団体

「Web感染型マルウェア対策コミュニティ」のメンバー

「Web感染型マルウェア対策コミュニティ」の協力関係図

　被害が拡大している「Gumblar（ガンブラー）」などのWeb感染型マルウェアに対抗するための任意団体「Web感染型マルウェア対策コミュニティ」が発足した。セキュリティ技術の研究・開発企業やセキュリティソリューション企業、システムインテグレーション企業、ISPなどが参加。各社が技術情報などを持ち寄って攻撃手法の解析や対策方法の検討などを行い、その成果を参加企業などを通じてインターネットユーザーに広く伝えていく。

　2日現在の参加企業は、調査会員がインターネットイニシアティブ（IIJ）、インフォセック、NRIセキュアテクノロジーズ、グローバルセキュリティエキスパート、サイバーディフェンス研究所、フォティーンフォティ技術研究所。賛助会員が、NTTデータ、NTTデータ・セキュリティ、NECビッグローブ、九電ビジネスソリューションズ、システムプラザ、ニコン、ニフティ、ミクシィ。このほか、JPCERT/CCも協力する。

　正規のWebサイトを改ざんしてマルウェアを仕込み、閲覧者に感染を広げる最近の“Gumblar型”攻撃では、改ざんされたWebサーバーやサイト閲覧者だけでなく、そのサイトをFTPで更新していたコンテンツ制作者、実際にマルウェア本体がホスティングされている別サーバー、さらに感染したPCから窃取したFTPアカウント情報の送信先サーバーなど、対策を施すべき範囲が多岐にわたる。

　しかし、大手サイトを運営する企業など、一般にはこうした攻撃に関する的確な情報が行き届いていないのが実情。一度感染して復旧したサイトが、コンテンツ制作者の更新権限への対応をとらないままサイトを再開したとで、再び同様の改ざんを受ける事例もあるという。

フォティーンフォティ技術研究所の鵜飼裕司氏

　コミュニティの運営委員長を務めるフォティーンフォティ技術研究所の鵜飼裕司氏は、Gumblar型攻撃について「近年まれに見る成功した攻撃モデル」と表現するとともに、現時点ではまだFTPアカウント情報を窃取するにとどまっているが、キーロガーを仕込んでメールやデータベース、インターネットバンキングなどのアカウント情報を窃取するかたちに変化する可能性もあり、「攻撃者のさじ加減で何でもできてしまうことの重大性に世の中が気付いていない」と指摘。セキュリティ企業が個々に取り組むことには限界があるとして、こうした危機的状況に対して、セキュリティ業界としてユーザーを保護するための共同の取り組みを展開することの必要性を訴えた。

　活動内容としては、啓発のための情報公開や講演、緊急事案や統計情報の共有、マルウェアの解析、攻撃手法の検証、防御手段の研究など。まずは会員間のメーリングリストや会合を通じて情報共有し、賛助会員の顧客企業やJPCERT/CCへ提供していく。さらに、コミュニティの公式サイトの開設も検討する。

　事務局はフォティーンフォティ技術研究所に設置。Web感染型マルウェアの調査・研究・対策などに関連する事業を手がける国内企業からの参加を受け付ける。会費は無料。

インフォセックの有松龍彦氏	JPCERT/CCの真鍋敬士氏

　インフォセックの有松龍彦氏は、Web感染型マルウェアとは「正規のWebサイトを書き換えることで、訪問者へウイルス感染を試みる攻撃手法」と定義した上で、これまでにもIISの脆弱性を悪用した「Nimda」（2001年9月放流）が30分間で世界中の1万サーバーに感染被害をもたらした事例や、SQLインジェクションを悪用した「ASPROX」（2008年5月放流）が国内の1万サーバーに感染した事例など、昔から存在したことを紹介した。

　しかし、それらがWebアプリケーションの脆弱性を突いて侵入したのに対して、Gumblar型が大きく異なるのは、FTPアカウントという「その家の持ち主の鍵を盗んで、堂々と入っていく」点だという。ウイルス感染拡大を狙うにはアクセス数の多い大手サイトに仕込むのが効果的だが、大規模サイトのサーバーは通常、セキュリティが強固になっている。これに対してGumblar型は、アカウントを窃取することで、そのような大手サイトに簡単に侵入てきているわけだ。

Gumblar型マルウェアの変化	Gumblar型マルウェアによる隠ぺい工作

　JPCERT/CCの真鍋敬士氏によると、JPCERT/CCに報告されたインシデントの内訳を見ると、「侵入・改ざん」は2009年7～9月は1％だったが、10～12月には17％に拡大しており、「Gumblar.X」が大暴れした時期と重なるという。さらに2010年については、すでに現時点で10～12月の3カ月を大きく超えている状況だとした。

JPCERT/CCに報告されたインシデントの内訳	JPCERT/CCに報告されたWeb改ざん件数の推移