依然続くガンブラー型攻撃、サーバー管理者は対策を、JPCERT/CCが調査報告書


JPCERT/CCに寄せられたウェブ改ざんに関するインシデント件数の推移

 一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は15日、いわゆるガンブラー型の攻撃に関する手法の分析調査結果をまとめ、公表した。ガンブラー型攻撃は現在も継続しているとして、ウェブサイト管理者に対して対策を徹底するよう呼びかけている。

 ガンブラー型攻撃とは、ウェブサイトの改ざんによりページ閲覧者を不正プログラムの配布ページに誘導して、ユーザーのPCにインストールしたマルウェアからFTPアカウント情報を盗み出し、さらにそのFTPアカウント情報を利用してウェブサイトの改ざんを行う、という一連の攻撃手法の総称。

 JPCERT/CCでは、ガンブラー攻撃の手法から、「Gumblar」「Gumblar.X」「Gumblar.8080」の3種類に分類し、それぞれの特徴について分析した調査結果をまとめた。

 最初に確認された「Gumblar」は、2009年4月~5月にかけて攻撃が発生。挿入されるJavaScriptが難読化されており、リダイレクト先が特定のドメイン名に絞られているという特徴があった。JPCERT/CCにも多くのウェブ改ざん被害報告が寄せられたが、リダイレクト先のドメインが停止されたことで、Gumblarの攻撃は終息したが、この際に盗まれたFTPパスワードが別の攻撃の出発地点として再利用されることとなった。

 次に確認された「Gumblar.X」は、2009年10月~12月に攻撃が発生。一時的に活動が終息したものの、2010年2月に活動を再開し、現在も攻撃が継続している。「Gumblar.X」は、FTPアカウント情報を盗むなどの目的は「Gumblar」と共通しているが、攻撃に利用するサーバー群を改ざんサイト、攻撃サイト、情報収集用サイトに振り分け、それらを多目的に利用するネットワークを構築することで攻撃の経路を多様化するなど、攻撃手法が高度なものになっている。

 また、「Gumblar.X」の活動が一時的に終息した2009年12月には、攻撃手法の異なる「Gumblar.8080」が発生。Gumblar.8080はFTPアカウント情報を盗むだけでなく、複数のマルウェアを感染させようとする点が特徴となっている。

Gumblar.Xの攻撃の流れGumblar.8080の攻撃の流れ

 こうした攻撃の背後には、効率的に攻撃を行うための「エクスプロイトツール」と呼ばれる攻撃ツールが出回っていることが確認されている。攻撃者はこのツールを用いることで、どの脆弱性への攻撃が成功したかや、感染したPCのOSやIPアドレスを確認することができ、攻撃ツールは更新されているため新たな脆弱性を攻撃に取り入れることも可能になっているという。

 一方で、現時点では日本のユーザーについては、ガンブラー型攻撃の被害を受けにくい状況となっている。「Gumblar.8080」は10月26日頃から活動が停止しており、「Gumblar.X」は現在も攻撃が継続しているものの、リダイレクト先のサイトがGeoIPを用いた地域によるアクセス制限が行われており、理由は不明だが日本からはアクセスできないように設定されているため、日本のユーザーが被害に遭う可能性が低くなっている。

 ただし、こうした状況はいつ変化するか分からず、依然として日本のサイトが攻撃の踏み台に使用されている状況も続いていると指摘。JPCERT/CCではサーバー管理者に対して、サーバーのコンテンツ書き換えが可能なクライアントの制限、定期的なパスワード変更などパスワードの管理、OSやアプリケーションの更新、ウイルス対策ソフトの導入などクライアントの管理といった、予防対策を改めて検討するよう呼びかけている。

確認されたエクスプロイトツールの一例ウェブ改ざん状況の推移

関連情報

(三柳 英樹)

2010/11/15 14:04