TOP»ITにかかわるリスク»ネットワーク»ガンブラー

ガンブラー

2009年末より、企業のWebサイトが改ざんされ、「JS_GUMBLAR(ガンブラー)」の亜種などが埋め込まれる事例が相次いでいます。改ざんされたWebサイトを閲覧した場合、FTPアカウント情報などを盗む不正プログラムや偽セキュリティソフトなど複数の不正プログラムに感染する可能性があります。

ガンブラー攻撃について

正規Webサイトを改ざんしサイト訪問者を不正なWebサイトに誘導、不正プログラムに感染させようとする攻撃です。昨年は大手自動車メーカなど企業3社が改ざんされるなど事態は深刻化してます。

不正プログラムに感染してしまうと利用者の PC から FTP のログインパスワード(IDやパスワード)などを盗み出して、利用者が管理するWebサイト等を改ざんし、新たなマルウェアを仕掛けて、この Web サイトを閲覧した他の利用者にも感染を広めようとします。現在は PC から FTP のログインパスワード(IDやパスワード)などを盗み出す被害が確認されていますが、今後その他個人情報が盗み出される可能性があります。

ガンブラーの動きは以下の通りです。
(1) サイトの管理に使っているパソコンがウイルスに感染する。

(2) ウイルスは、サイトを更新するときに使うFTPの接続情報(IDやパスワードなど)を盗み取り、攻撃者が用意した情報収集用のサーバーに送信する。

(3) 入手した情報をもとに、攻撃者が用意した改ざん用のサーバーが各サイトを巡回し、サイトを改ざんする。具体的には、攻撃用のプログラムが置かれた悪質なサイト(攻撃サイト)へ誘導するリンクをサイトに埋め込む。

(4) ネットユーザーが改ざんされたサイトにアクセスすると、埋め込まれたリンクによって自動的に攻撃サイトへ誘導される。セキュリティ対策の甘いパソコンは、攻撃プログラムによってウイルスに感染してしまう。

ガンブラー対策

一般利用者
いつも普通に利用していたWebサイトが突然感染源になる可能性があり、「怪しいサイトは見ない」といった心がけレベルの対策では通用しません。予防対策として以下のことを確認してください。

1)セキュリティソフトを使用する
改ざんされたWebサイトを閲覧すると、不正プログラムがダウンロードされますが、セキュリティソフトを正しく使用していれば、感染を高い確率で防ぐことが出来ます。また、セキュリティソフトの中には、レピュテーション技術で、リダイレクト先の不正なWebサイトへのアクセスをブロックするものがあります。こちらの機能を持つセキュリティソフトがおすすめします

2)セキュリティホール対策をする
改ざんされたWebサイトは閲覧時に不正プログラムに感染させるため、しばしばアプリケーションの脆弱性が使われます。
ガンブラー攻撃で確認されている脆弱性としては、Adobe Reader/Acrobat/Flash Player があります。その他のアプリケーションについても、脆弱性が狙われる可能性があります。脆弱性のあるアプリケーションを使用していると、そこがセキュリティホールとなり、不正プログラムに感染しやすくなります。
Windows Updateはもちろん、お使いの製品のセキュリティ情報を確認し、最新のバージョンにするなどして、セキュリティホールをしっかりふさいでおく必要があります。

Webサイト運営者
ご自身が管理しているWebサイトが改ざんされた場合、被害者になると同時に、訪問者にウイルス感染させてしまう“加害者”になってしまいます。 以下のことを確認してください。

1)セキュリティ修正プログラムを適用する
お使いのシステムの脆弱性を確認し、セキュリティ修正プログラム(セキュリティパッチ)は必ず適用してください。

2)ID、パスワード管理の徹底
IDとパスワードを盗まれ、Webサーバ管理権限を乗っ取られる場合があります。ID/パスワードを他人と共有しない、パスワードは定期的に変更する、複数のサービスで同じパスワードを使用しないなど、きちんと管理しましょう。

3)サイトのソースコードを定期的に確認
万一改ざんされた場合、被害を最小限に防ぐためにも、定期的に公開しているサイトのソースコードを確認しましょう。