Japan Computer Emergency Response Team Coordination Center 電子署名者 : Japan Computer Emergency Response Team Coordination Center DN : c=jp, st=tokyo, l=chiyoda-ku, email=office@jpcert.or.jp, o=japan Computer Emergency Response Team Coordination Center, cn=japan Computer Emergency Response Team Coordination Center 日付 : 2010.11.24 15:16:03 +09'00' 踏み台にされる Web サイト ~いわゆる Gumblar の攻撃手法の分析調査~ 一般社団法人 JPCERT コーディネーションセンター 2010 年 11 月 15 日
目 次 1. はじめに... 3 2. Web 改 ざんについて... 4 3. Gumblar について... 5 3.1. Gumblar( 活 動 時 期 : 2009 年 4 月 から 5 月 )... 7 3.1.1. Gumblar の 攻 撃 手 法... 9 3.2. Gumblar.X( 活 動 時 期 : 2009 年 10 月 から 12 月 2010 年 2 月 から 10 月 現 在 )... 9 3.2.1. Gumblar.X の 攻 撃 手 法... 11 3.2.2. Gumblar.X のマルウエアの 挙 動... 15 3.2.3. Gumblar と Gumblar.X の 相 違 点... 16 3.3. Gumblar.8080( 活 動 時 期 : 2009 年 12 月 から 2010 年 10 月 現 在 )... 17 3.3.1. Gumblar.8080 の 攻 撃 手 法... 18 3.3.2. Gumblar.8080 のマルウエアの 動 作 内 容... 22 3.3.3. Gumblar/Gumblar.X と Gumblar.8080 との 相 違 点... 25 4. 各 Gumblar の 攻 撃 手 法 に 見 る 問 題 点 および 今 後 の 対 策... 26 4.1. クライアント 管 理 の 問 題 および 対 策... 28 4.2. サーバ 管 理 / 運 用 の 問 題 および 対 策... 29 5. 最 後 に... 31 6. 参 考 URL... 32-2-
1. はじめに 昨 今 脆 弱 性 やマルウエアなど 様 々なセキュリティインシデントに 関 する 情 報 が ニュースメディアな どで 取 り 上 げられています その 中 で 特 に 2009 年 4 月 以 降 注 目 を 浴 びたのが Gumblar(ガンブラ ー)です Gumblar は 発 生 当 初 他 の Web サイト 改 ざん 事 例 と 同 列 に 見 られていました その 後 徐 々 に 調 査 が 進 むにつれ Web サイトの 改 ざん 手 法 や Web サイト 改 ざんの 被 害 の 規 模 動 作 するマルウエア の 挙 動 など この 攻 撃 の 特 徴 的 な 実 態 が 浮 き 彫 りになってきました 細 部 の 変 化 を 伴 いつつ 2010 年 10 月 現 在 も 攻 撃 活 動 が 継 続 しています 2009 年 4 月 以 降 JPCERT コーディネーションセンター( 以 下 JPCERT/CC という )のインシデ ント 対 応 窓 口 では Gumblar の 攻 撃 による Web サイトの 改 ざん( 以 下 単 に Web 改 ざん という ) の 報 告 を 多 く 受 けています JPCERT/CC では 受 け 取 った 報 告 から Web 改 ざんの 実 態 把 握 や 統 計 情 報 の 収 集 を 行 うだけでなく 必 要 に 応 じて 関 連 マルウエアを 分 析 し その 結 果 に 基 づいて 改 ざんされた サイトの 管 理 者 や 実 行 されるマルウエアの 配 布 先 などへコーディネーションも 行 っています 本 報 告 書 では Web 改 ざんの 攻 撃 手 法 の 実 態 を 把 握 していただくため こうした JPCERT/CC の 活 動 を 通 して 得 られた 情 報 を 元 に Gumblar の 攻 撃 手 法 の 流 れ 感 染 するマルウエアの 動 作 などを 紹 介 します Web 改 ざんの 実 態 把 握 および 対 策 を 検 討 する 際 に 本 報 告 書 を 参 照 いただければ 幸 いです なお 本 報 告 書 は JPCERT/CC が 株 式 会 社 Kaspersky Labs Japan および 株 式 会 社 ラックに 委 託 して 実 施 した 調 査 研 究 の 成 果 を 含 んでいます -3-
2. Web 改 ざんについて 2000 年 から 2001 年 にかけて 日 本 の 中 央 官 庁 で 頻 発 した Web 改 ざんは システムへ 侵 入 できたことを 誇 示 したり 自 分 たちのグループの 主 張 がマスコミに 取 り 上 げられたりすることを 狙 った 愉 快 犯 的 な Web 改 ざんが 主 流 でした しかし スパムやマルウエアなども 含 め 攻 撃 者 の 攻 撃 の 目 的 が 金 銭 を 狙 った 攻 撃 にシフトしていく につれ このよう 愉 快 犯 的 な Web 改 ざんは 影 を 潜 め Web サイトにアクセスしたユーザの 情 報 などを 狙 う 金 銭 目 的 の 攻 撃 が 主 流 となってきました ユーザを 攻 撃 する 手 段 としては JavaScript などが 用 い られ 改 ざんされた Web ページにアクセスしたユーザを 気 付 かないうちに 攻 撃 者 が 指 定 した Web サ イトへ 誘 導 ( 以 下 リダイレクト という )します 多 くの 場 合 リダイレクト 先 のサイトからマル ウエアがダウンロードされ ユーザの PCにインストールされます この 種 の 攻 撃 が 始 まった 2005 年 か ら 2008 年 にかけて Web 改 ざんは Web サーバへの 侵 入 や SQL インジェクションなどの Web コン テンツ 管 理 システムの 脆 弱 性 などを 利 用 して 行 われていました そして 2009 年 から 頻 繁 に 確 認 されるようになった Web 改 ざんが Gumblar です Gumblar でも 攻 撃 者 が 意 図 する Web サイトへユーザをリダイレクトしマルウエアをダウンロードするプロセスは 2005 年 から 2008 年 頃 の Web 改 ざんと 基 本 的 には 変 わりません しかし ダウンロードされるマルウエアが FTP アカウント 情 報 を 盗 み この FTP アカウント 情 報 で 新 たな Web 改 ざんが 可 能 になります この 循 環 を 繰 り 返 すことで Gumblar による Web 改 ざんが 燎 原 の 火 のようにインターネット 上 の 多 数 の Web サイトに 拡 大 していきました -4-
3. Gumblar について Gumblar は 正 規 Web サイトに 仕 掛 けを 組 み 込 んで アクセスしたユーザを 気 付 かせないまま 攻 撃 者 の 用 意 するサイトへリダイレクトし 最 終 的 には FTP アカウント 情 報 を 盗 むことを 目 的 とするマルウエ アにユーザの PC を 感 染 させます この 一 連 の 流 れで 遂 行 される 攻 撃 を Gumblar と 呼 び Web 改 ざんを 伴 う 類 似 の 攻 撃 の 総 称 として 使 用 されるようになりました Gumblar の 名 前 は 2009 年 4 月 に 攻 撃 が 観 測 された 時 点 で 攻 撃 者 が 用 意 していたリダイレクト 先 の Web サイトのドメイン 名 (gumblar.cn)から 付 けられています Gumblar と 呼 ばれる 攻 撃 手 法 に 共 通 する 特 徴 を 次 に 示 します 正 規 Web サイトを 改 ざんし ユーザを 攻 撃 者 が 用 意 した 攻 撃 サイトへリダイレクトする 脆 弱 性 を 攻 撃 し ユーザの PC にマルウエアを 感 染 させ FTP アカウント 情 報 を 盗 む 盗 んだ FTP アカウント 情 報 を 用 いて Web 改 ざんを 行 い リダイレクト 用 の Web サーバを 増 や す このような 特 徴 を 持 つ 攻 撃 が Gumblar もしくは Gumblar 攻 撃 と 呼 ばれていますが その 細 部 は 一 様 では ありません 2009 年 4 月 に 専 門 家 の 間 で 認 知 されてから 今 日 まで 継 続 的 に 種 々の 改 造 が 加 えられ 多 様 な 変 化 をたどりながら 今 日 に 到 っています 本 報 告 書 では 攻 撃 内 容 および 発 生 時 期 などから Gumblar の 攻 撃 手 法 を 大 きく 3 種 類 に 分 類 して 説 明 します 3 つの 種 類 の 確 認 時 期 と 名 称 特 徴 を 表 3-1 に 示 し ます 本 報 告 書 では 各 種 類 の Gumblar に 対 して 表 3-1 に 掲 げた 名 称 を 用 います これ 以 降 の 説 明 で は 広 義 の Gumblar( 攻 撃 手 法 全 般 )は 広 義 の Gumblar 狭 義 の Gumblar(2009 年 4 月 に 発 生 した 攻 撃 手 法 単 体 )は Gumblar と 表 記 します -5-
表 3-1 各 Gumblar の 名 称 および 確 認 時 期 特 徴 の 一 覧 名 称 確 認 期 間 特 徴 章 番 号 Gumblar 2009 年 4 月 から 5 月 挿 入 される JavaScript が 難 読 化 されて 3.1 いる リダイレクト 先 が 特 定 のドメインに 絞 ら れている FTP アカウント 情 報 を 盗 むことを 目 的 と するマルウエアに 感 染 する Gumblar.X 2009 年 10 月 から 12 月 挿 入 される JavaScript は 難 読 化 されてい 3.2 2010 年 2 月 ( 活 動 再 開 ) ない から 2010 年 10 月 現 在 複 数 の 脆 弱 性 を 狙 い PC へのマルウエ アの 感 染 を 試 みる 接 続 元 の 制 限 がかけられている FTP アカウント 情 報 を 盗 むことを 目 的 と するマルウエアに 感 染 する Gumblar.8080 2009 年 12 月 から 2010 年 10 月 現 在 挿 入 される JavaScript は 難 読 化 されてい たが 2010 年 6 月 12 日 以 降 難 読 化 さ れない 形 で 挿 入 されている 複 数 の 脆 弱 性 を 狙 い PC へのマルウエ アの 感 染 を 試 みる 接 続 元 の 制 限 がかけられている FTP アカウント 情 報 を 盗 むことを 目 的 す るマルウエアだけではなく 複 数 のマル ウエアに 感 染 する 3.3 表 3-1 で 示 したように 各 Gumblar の 攻 撃 手 法 は 尐 しずつ 異 なった 特 徴 を 持 っており 確 認 期 間 も 数 カ 月 ずつのずれがあります JPCERT/CC のインシデント 報 告 窓 口 へのインシデント 報 告 についても 図 3.1 に 示 すように 各 Gumblar の 攻 撃 の 確 認 時 期 と 同 じ 時 期 に 多 く 寄 せられています -6-
図 3.1 JPCERT/CC に 寄 せられた Web 改 ざんに 関 するインデント 件 数 の 推 移 図 3.1 で 示 したように Gumblar が 確 認 された 2009 年 4 月 Gumblar.X が 確 認 された 2009 年 10 月 Gumblar.8080 が 確 認 された 2009 年 12 月 に JPCERT/CC へのインシデント 報 告 件 数 が 増 えています ここで 注 意 しなければならない 点 は 図 3.1 で 示 した 数 はあくまで JPCERT/CC に 報 告 を 寄 せていただ いた 件 数 であり Web 改 ざんの 一 部 に 過 ぎないということです 実 際 には ここで 示 した 数 以 上 の Web サイトの 改 ざん 被 害 が 発 生 していると 考 えられます また 図 3.1 では 2010 年 9 月 までのデータを 使 用 していますが 実 際 には 2010 年 10 月 現 在 でも Gumblar.X および Gumblar.8080 の Web 改 ざんが 確 認 されており 攻 撃 の 脅 威 が 続 いています これら 多 様 な 攻 撃 に 対 応 していくためには それぞれの 実 態 を 把 握 して 対 応 対 策 について 検 討 を 進 め ていく 必 要 があります 次 項 以 降 では Gumblar Gumblar.X Gumblar.8080 それぞれの 攻 撃 手 法 につ いて 説 明 していきます 3.1. Gumblar( 活 動 時 期 : 2009 年 4 月 から 5 月 ) Gumblar という 名 称 は 2009 年 4 月 に 初 めて 登 場 しました 有 名 な Web サイトが 改 ざんを 受 けたこと で メディアなどでも 大 きく 注 目 され Gumblar という 名 称 および 攻 撃 手 法 が 世 に 広 く 知 られるように -7-
なりました JPCERT/CC にも 同 時 期 に 多 くの Web 改 ざんについてインシデント 報 告 が 寄 せられ コー ディネーション 対 応 を 実 施 しました この Gumblar の 攻 撃 が その 後 の Gumblar.X および Gumblar.8080 の 祖 と 考 えられます 2009 年 4 月 に 確 認 された Gumblar の 攻 撃 の 流 れを 図 3.2 に 示 します 図 3.2 Gumblar の 攻 撃 の 流 れ [Gumblar の 攻 撃 の 流 れ] 1 攻 撃 者 により 正 規 Web サイトが 改 ざん 2 改 ざんされた Web サイトにユーザがアクセス 3 リダイレクトされたユーザは 攻 撃 者 の 用 意 した Web サイトへリダイレクトされる 4 脆 弱 性 を 攻 撃 され 最 終 的 にマルウエアへ 感 染 させられる 5 感 染 後 マルウエアは FTP アカウント 情 報 を 盗 み 攻 撃 者 の 用 意 するサイトへ 盗 んだ FTP ア カウント 情 報 を 送 付 図 3.2 で 示 したように Gumblar の 攻 撃 手 法 は 後 述 する Gumblar.X や Gumblar.8080 と 比 較 して 単 純 な 構 造 になっています Gumblar の 特 徴 について 3.1.1 以 降 に 説 明 します -8-
3.1.1. Gumblar の 攻 撃 手 法 Gumblar の 攻 撃 手 法 を 以 下 に 説 明 します 難 読 化 された JavaScript が html ファイル の</head>と<body>の 間 に 挿 入 される 図 3.3 2009 年 4 月 Gumblar の 難 読 化 された JavaScript のサンプル 図 3.4 図 3.3 の JavaScript を 復 号 した JavaScript gumblar.cn martuz.cn zilkon.lv など 特 定 のドメインにリダイレクトされる FTP アカウント 情 報 を 盗 むことを 目 的 とするマルウエアに 感 染 FTP アカウント 情 報 を 盗 むことを 目 的 とした 挙 動 については 2009 年 4 月 時 点 ではその 機 能 を 持 つマルウエアの 検 体 を 入 手 できなかったため JPCERT/CC では 確 認 できませんでした そ の 後 検 体 を 入 手 して 調 査 し Gumblar.X で 入 手 したマルウエアと 類 似 のマルウエアであるこ とを 確 認 しています マルウエアの 動 作 の 詳 細 については 3.2.2 を 参 照 してください Gumblar は リダイレクト 先 のドメイン(gumblar.cn や martuz.cn zilkon.lv など)が 固 定 であったため JPCERT/CC などの 要 請 によるドメインの 停 止 で 終 息 に 向 かいました ただし この 時 点 で 改 ざんを 受 けたにも 関 わらずパスワードの 再 設 定 などの 対 応 をしなかった Web 管 理 者 が 管 理 する Web サイトの 一 部 は 2009 年 10 月 に 発 生 する Gumblar.X で 再 び 改 ざんの 被 害 を 受 けるなど 再 度 攻 撃 の 出 発 地 点 とし て 使 用 されることになります 3.2. Gumblar.X( 活 動 時 期 : 2009 年 10 月 から 12 月 2010 年 2 月 から 10 月 現 在 ) Gumblar の 攻 撃 は 2009 年 5 月 頃 を 境 に 一 旦 終 息 に 向 かいました しかし 数 カ 月 後 再 び 改 ざん 被 害 を 受 ける Web サイトの 増 加 が 確 認 され 息 を 吹 き 返 しました 2009 年 10 月 頃 から 確 認 されたこの 攻 撃 手 -9-
法 は 2009 年 4 月 の Gumblar と 類 似 していたことから Gumblar の 亜 種 として 扱 われ Gumblar.X と 呼 ばれています Gumblar.X の 攻 撃 の 流 れを 図 3.5 に 示 します 図 3.5 Gumblar.X の 攻 撃 の 流 れ [Gumblar.X の 攻 撃 手 法 の 流 れ] 1 攻 撃 者 が 改 ざんサイト 群 と 攻 撃 サイト 群 情 報 送 付 サイト 群 を 準 備 2 改 ざんされた Web サイトにユーザがアクセス 3 ユーザは 攻 撃 者 の 用 意 した Web サイトへリダイレクトされ 複 数 の 脆 弱 性 を 順 に 攻 撃 され いずれかの 脆 弱 性 をもっていた 場 合 にはマルウエアへ 感 染 させられる 4 感 染 後 マルウエアは FTP アカウント 情 報 を 盗 み 攻 撃 者 の 用 意 するサイトへ 盗 んだ FTP ア カウント 情 報 を 送 信 Gumblar.X の 攻 撃 手 法 は Gumblar と 比 較 し 分 析 を 困 難 にさせる 手 法 が 取 り 入 れられています Gumblar.X の 攻 撃 手 法 の 特 徴 や 動 作 するマルウエアの 動 作 内 容 は 3.2.1 で 説 明 します -10-
3.2.1. Gumblar.X の 攻 撃 手 法 Gumblar.X は Gumblar の 攻 撃 手 法 よりも 巧 妙 な 仕 組 みに 変 化 しています Gumblar.X の 攻 撃 手 法 につ いて 説 明 します Gumblar とは 異 なり 不 正 な JavaScript が 難 読 化 されない 状 態 で 挿 入 されます 改 ざん 対 象 が html ファイル の 場 合 には </head>タグと<body>タグの 間 に 挿 入 され( 図 3.6) js ファ イル の 場 合 には 末 尾 に 挿 入 されます( 図 3.7) 図 3.6 Gumblar.X html ファイルへの 挿 入 例 また js ファイル の 場 合 には 複 数 行 挿 入 されている 場 合 もあります これは 同 一 ファイ ルが 複 数 回 改 ざんを 受 けたことを 表 しています 図 3.7 Gumblar.X js ファイルへの 挿 入 例 リダイレクト 先 ( 攻 撃 サイト)では アクセスした Web ブラウザに 応 じて 異 なる JavaScript のコードがダウンロードされ 攻 撃 する 脆 弱 性 が 変 化 します Internet Explorer 7 でアクセスし た 際 実 行 される JavaScript の 一 部 を 図 3.8 に 示 します 図 3.8 内 の1および2には Adobe Reader/Acrobat のバージョンおよび Adobe Flash Player のバージョンを 確 認 しているコードに なります 3はセッション ID で 接 続 の 制 限 などに 用 いられます -11-
図 3.8 Internet Explorer 7 でアクセス 時 実 行 される JavaScript( 一 部 ) 使 用 される 脆 弱 性 は 前 述 したようにアクセスした Web ブラウザにより 変 化 します Gumblar.X で 確 認 された 脆 弱 性 について 表 3-2 に 示 します 脆 弱 性 があると FTP アカウント 情 報 を 盗 むマルウエアに 感 染 します マルウエアの 動 作 の 詳 細 については 3.2.2 を 参 照 してください -12-
表 3-2 Gumblar.X が 攻 撃 する 脆 弱 性 ソフトウエア バージョン 脆 弱 性 MDAC - MS06-014 Internet Explorer 7 MS09-002 Microsoft Office Web コンポーネント - MS09-043 Adobe Reader/Acrobat 8.1.1 以 前 CVE-2007-5659 8.1.2 以 前 CVE-2008-2992 9.0 以 前 および 8.l.3 以 前 CVE-2009-0927 Adobe Flash 9.0.123 以 前 CVE-2007-0071 10.0.22 以 前 CVE-2009-1862 Java (JRE) 1.6.10 以 前 CVE-2008-5353 リダイレクト 先 ( 攻 撃 サイト)では 接 続 元 IP アドレスに 基 づくアクセス 制 限 ( 同 一 IP アド レスからの 接 続 を 一 定 期 間 制 限 )やセッション ID(s=[ 英 数 字 8 文 字 ])に 基 づくアクセス 制 限 ( 図 3.8 の3 部 分 )などが 行 われています これは マルウエア 分 析 の 中 で 発 生 するアクセスに 対 し て 挙 動 を 変 えることで 分 析 作 業 を 困 難 にさせるためと 思 われます リダイレクト 先 ( 攻 撃 サイト)では GeoIP 1 の 機 能 を 使 用 して 接 続 元 が 日 本 であった 場 合 接 続 を 拒 否 するよう 制 限 が 掛 けられています 図 3.9 で 示 したのは Gumblar.Xの 攻 撃 サイト で 使 用 されている php ファイル の 一 部 です 接 続 元 IP アドレスが 日 本 の 場 合 0 バイトの データが 返 されます (2010 年 2 月 中 旬 頃 より) 1 MaxMind 社 が 提 供 するサービス 国 や 地 域 およびサービスプロバイダ(ISP)をマッピングしたデータベースを 有 しており IP アドレ スやドメインから 位 置 情 報 ( 地 域 )を 取 得 することができる -13-
図 3.9 日 本 からの 接 続 を 避 ける Gumblar.X のコード マルウエア 配 布 に 使 用 さている Web サイトには php ファイル の 他 に php ファイル と 同 じ 階 層 に s というディレクトリが 存 在 します このディレクトリには アクセスログを 格 納 するディレクトリや 各 種 ファイル(マルウエア 本 体 Adobe Reader/Acrobat および Adobe Flash など 実 際 に 脆 弱 性 を 攻 撃 するファイル)がエンコードされた 状 態 で 置 かれています( 図 3.10) これらエンコードされたファイルは ユーザが Gumblar.X のサイトに 接 続 した 際 php スクリ プト によってデコードされ ユーザの 環 境 で 実 行 されます 図 3.10 Gumblar.X の 攻 撃 サイトの 参 考 例 また マルウエア 配 布 サイトに 配 置 されている php ファイル は バックドアと 思 われる 機 能 も 有 しています これはファイルの 更 新 やコマンドの 実 行 に 使 用 されていると 推 測 されます -14-
3.2.2. Gumblar.X のマルウエアの 挙 動 Gumblar.X で 動 作 するマルウエアは FTP のアカウントを 盗 むことを 目 的 としています また Gumblar の 攻 撃 手 法 で 感 染 するマルウエアと 同 じ 機 能 を 有 しています マルウエアの 動 作 について 以 下 で 説 明 します FTP アカウント 情 報 を 盗 む FTP アカウント 情 報 を 盗 む 機 能 を 有 しており 通 信 パケットの 中 から FTP アカウント 情 報 を 盗 み 特 定 のサーバに 送 信 します FTP アカウント 情 報 を 送 信 する 方 法 としては 攻 撃 者 が 用 意 する 特 定 のサーバ( 図 3.5 の 情 報 収 集 サイト 群 )への 通 信 を 目 立 たなくするために ユーザが Web ブラウザを 使 用 して Web サイトを 閲 覧 するタイミングに 合 わせて 送 付 します 送 信 時 の フォーマットは 図 3.11 に 示 すようになっており HTTP ヘッダ 内 に 情 報 が 含 まれています 図 3.11 FTP アカウント 情 報 を 送 付 する 際 の HTTP リクエストヘッダ ウイルス 対 策 ソフトへの 対 応 PC 上 で HTTP プロトコルによる 通 信 を 監 視 し アクセス 先 URL 内 に 特 定 のウイルス 対 策 ソフ トベンダのドメインが 含 まれる 接 続 要 求 を 阻 害 します 阻 害 方 法 は GET メソッドなどのメソ ッド 名 の 変 更 です 図 3.12 はその 一 例 で GET メソッドで GET が HET に 変 更 されて います -15-
図 3.12. ウイルス 対 策 ソフトベンダのドメインへのアクセス 要 求 の 阻 害 また 本 マルウエアに 感 染 した 場 合 プログラム(コマンドプロンプトなど)の 動 作 妨 害 や OS 自 体 の 動 作 が 不 安 定 になるなど 複 数 の 症 状 が 発 生 します 3.2.3. Gumblar と Gumblar.X の 相 違 点 Gumblar.X は Gumblar の 攻 撃 時 の 攻 撃 手 法 ( 不 正 な JavaScritpt の 挿 入 箇 所 動 作 するマルウエアの 挙 動 および FTP アカウント 情 報 を 盗 むという 目 的 など)との 共 通 点 が 見 られ 大 枠 では 同 一 の 攻 撃 手 法 に よる 攻 撃 と 考 えられます しかし 攻 撃 手 法 のすべてが 同 じということではなく Gumblar と Gumblar.X の 攻 撃 手 法 では 図 3.13 のような 違 いが 見 られます 図 3.13 Gumblar と Gumblar.X の 比 較 -16-
Gumblar.X の 攻 撃 手 法 の 大 きな 特 徴 として 図 3.5 に 示 すように 改 ざんサイト 用 攻 撃 サイト 用 情 報 収 集 用 のサーバ 群 を 攻 撃 者 の 権 限 の 過 多 により 各 サイト 群 に 振 り 分 け それらのサーバ 群 を 図 3.13 に 示 すように 改 ざんサイトを 攻 撃 サイトにも 使 用 するなど 各 サイト 群 を 多 目 的 に 使 用 し 脆 弱 なシステムに よるネットワークを 構 築 している 点 が 挙 げられます Gumblar では 見 られなかった このような 仕 組 み が 用 いられたことで 例 えば URL フィルタリングなどによる 感 染 や 情 報 漏 えいに 対 する 対 策 が 難 しくな ります また リダイレクトに 使 用 する Web サイトを 大 量 に 用 意 し 攻 撃 の 経 路 を 多 様 化 することで(ユ ーザのマルウエアへの 感 染 確 率 が 上 がる) マルウエアの 感 染 者 を 増 加 させ( 収 集 される FTP アカウント 情 報 が 増 加 ) 結 果 として 攻 撃 に 利 用 できる Web サイト( 改 ざんサイト)を 多 数 作 り 出 すことが 可 能 な フィードバック ループを より 急 拡 大 できる 循 環 に 変 化 させています Gumblar.X は 2009 年 12 月 に 一 度 活 動 の 終 息 が 確 認 されました しかし 2010 年 2 月 に 入 り 再 度 そ の 活 動 を 活 発 化 させています 現 在 は 日 本 の IP アドレスからの 接 続 制 限 が 行 われているため 日 本 に おけるユーザの 被 害 は 発 生 していないと 推 測 されますが Gumblar.X の 日 本 国 内 における Web 改 ざんは 2010 年 10 月 現 在 も 新 たに 発 生 しています 3.3. Gumblar.8080( 活 動 時 期 : 2009 年 12 月 から 2010 年 10 月 現 在 ) 2009 年 12 月 から 2010 年 2 月 まで Gumblar.X の Web 改 ざんが 一 時 的 に 終 息 しました Gumblar.X と 入 れ 替 わるようにして 活 動 が 確 認 されたのが Gumblar.8080 です Gumblar.8080 は それまでの Gumblar や Gumblar.X とは 攻 撃 手 法 や 改 ざん 内 容 実 行 されるマルウエアの 動 作 内 容 などに 大 きく 違 いがあるこ とから Gumblar や Gumblar.X とは 別 系 統 のものと 考 えられることもあります しかし 正 規 Web サイ トの 改 ざん 複 数 の 脆 弱 性 を 攻 撃 して マルウエアの 実 行 を 試 みる FTP を 含 むアカント 情 報 を 盗 むことを 目 的 としたマルウエアが 動 作 する などの 共 通 点 から Gumblar に 分 類 されます Gumblar.8080 は 当 初 接 続 するトップレベルドメイン(.ru ロシア)や 使 用 されるポート(8080)が 一 定 であったこ とから ru:8080 と 呼 ばれることも 改 ざん 内 容 に /*GNU GPL*/ という 文 字 列 が 含 まれていたこと から GNUGPL と 呼 ばれることもあります 本 報 告 書 では Gumblar.8080 の 呼 称 を 用 います Gumblar.8080 の 攻 撃 の 流 れを 図 3.14 に 示 します -17-
図 3.14 Gumblar.8080 の 攻 撃 手 法 の 流 れ [Gumblar.8080 の 攻 撃 手 法 の 流 れ] 1 攻 撃 者 により 正 規 Web サイトが 改 ざん 2 改 ざんされた Web サイトにユーザがアクセス 3 ユーザは 攻 撃 者 の 用 意 した Web サイトへリダイレクトされ 複 数 の 脆 弱 性 で 攻 撃 され マル ウエアに 感 染 4 マルウエアはデータ( 各 種 マルウエア)をダウンロードするため ダウンロードサーバに 接 続 5 4でダウンロードしたマルウエアを 展 開 し 実 行 3.3.1. Gumblar.8080 の 攻 撃 手 法 Gumblar.8080 は Gumblar.X とは 異 なる 攻 撃 手 法 を 用 いており Gumblar.X の 攻 撃 手 法 とはまた 別 の 巧 妙 さを 持 っています Gumblar.8080 の 攻 撃 手 法 を 以 下 で 説 明 します JavaScript を 挿 入 する 箇 所 が Gumblar や Gumblar.X とは 異 なり html ファイル 内 の</html> タグの 後 ろに 挿 入 されます 挿 入 される JavaScript は Gumblar と 同 様 難 読 化 されています また Gumblar の 時 期 に 用 いられた JavaScript よりも 複 雑 な 難 読 化 が 施 されています( 図 3.15) 初 期 の 2009 年 12 月 から 1 月 頃 には /*GNU GPL*/ や /*LGPL*/ などの 文 字 列 が 難 読 化 さ -18-
れた JavaScript とともに 挿 入 されていました また WordPress など Web アプリケーション の 脆 弱 性 を 悪 用 して 改 ざんが 行 われた 場 合 <html>タグの 前 に 挿 入 されるケースもあります 図 3.15 Gumblar.8080 挿 入 例 (2010 年 6 月 11 日 以 前 ) 2010 年 6 月 12 日 以 降 は 改 ざんの 手 法 が 変 化 し Gumblar.X と 同 様 に 難 読 化 されない 状 態 で JavaScript が 挿 入 されています 図 3.16 Gumblar.8080 挿 入 例 (2010 年 6 月 12 日 以 降 ) リダイレクト 先 の URL は Gumblar.X と 同 様 多 数 存 在 します また 時 期 により 表 3-3 のよ うな 特 徴 が 見 られます 表 3-3 リダイレクト 先 URL の 特 徴 時 期 概 要 2009 年 12 月 から 2 月 トップレベルドメインに.ru が 使 用 される また 有 名 なドメイ ン 名 が URL 内 に 含 まれていた ( 表 3-4( 1)を 参 照 ) 2010 年 3 月 以 降 短 い URL に 変 化 した ( 表 3-4( 2)を 参 照 ) 2010 年 6 月 以 降 トップレベルドメインに.com や.biz などが 使 用 される また 8080 ポートだけではなく 80 ポートも 使 用 される ( 表 3-5 を 参 照 ) -19-
また Fast Flux 2 手 法 も 用 いられています 2010 年 6 月 11 日 以 前 に 確 認 したドメインの 一 部 を 表 3-4 に 2010 年 6 月 12 日 以 降 に 確 認 したドメインの 一 部 を 表 3-5 に 示 します 表 3-4 Gumblar.8080 リダイレクト 先 ドメイン( 一 部 )(2010 年 6 月 11 日 以 前 ) ( 1) ( 2) 表 3-5 Gumblar.8080 リダイレクト 先 ドメイン( 一 部 )(2010 年 6 月 12 日 以 降 ) 2 マルウエアを 配 布 するサイトやフィッシングサイトをより 長 い 期 間 インターネット 上 で 活 動 させるために 攻 撃 者 が 使 用 する 技 術 の 一 つ 特 定 のホスト 名 に 複 数 の IP アドレスを 短 い TTL で 設 定 することで サイトの 可 用 性 を 高 めるために 使 用 される -20-
Gumblar.8080 でも Gumblar.X と 同 様 に アクセスしてきた Web ブラウザの 種 類 により 使 用 さ れる 脆 弱 性 が 変 化 します Gumblar.8080 が 悪 用 する 脆 弱 性 を 表 3-6 に 示 します 表 中 の(*)は Gumblar.8080 が 悪 用 し 始 めた 時 点 でその 脆 弱 性 が 未 修 正 であったことを 意 味 しています 表 3-6 Gumblar.8080 が 悪 用 する 脆 弱 性 ソフトウエア バージョン 脆 弱 性 MDAC - MS06-014 Microsoft Access Snapshot Viewer - MS08-041 Microsoft Video ActiveX Control - MS09-032 Windows Help and Support Center - MS10-042(*) Adobe Reader/Acrobat 8.1.1 以 前 CVE-2007-5659 8.1.2 以 前 CVE-2008-2992 9.2 および 8.1.7 以 前 CVE-2009-4324(*) Java (JRE) 1.6.10 以 前 CVE-2008-5353 1.6.19 以 前 CVE-2010-0886 (*)は 悪 用 され 始 めた 時 点 で 未 修 正 であった 脆 弱 性 脆 弱 性 があると マルウエアがダウンロードされ 実 行 されます このマルウエアは ダウンロ ーダの 機 能 を 有 しており 複 数 の exe ファイルがエンコードされた 状 態 で 格 納 されているデー タファイルのダウンロードを 試 みます そして 取 得 したデータファイルから 各 種 exe ファイ ルを 抽 出 し 実 行 します データファイル 内 のエンコードされた exe ファイルは 取 得 するタ イミングにより 変 化 します 各 マルウエアの 動 作 の 詳 細 について 3.3.2 を 参 照 してください -21-
3.3.2. Gumblar.8080 のマルウエアの 動 作 内 容 Gumblar.8080 においてダウンロードされるマルウエアは Gumblar や Gumblar.X とは 異 なり 複 数 の 種 類 が 確 認 されており また その 機 能 についても FTP アカウント 情 報 を 盗 むことだけを 目 的 にしている わけではありません FTP アカウント 情 報 だけではなく HTTP などのアカウント 情 報 を 盗 むマルウエ アや 偽 ウイルス 対 策 ソフトを 導 入 するマルウエア ボットを 導 入 するマルウエアなど 様 々な 機 能 をもっ た 複 数 のマルウエアに 感 染 します Gumblar.8080 の 攻 撃 手 法 で 確 認 したマルウエアの 動 作 内 容 を 以 下 に 示 します PC 内 に 保 存 されているアカウント 情 報 を 盗 むマルウエア PC 内 に 保 存 されている 次 のようなアカウント 情 報 を 収 集 し BASE64 でエンコードした 上 で 攻 撃 者 が 用 意 するサーバへ 送 付 します Web ブラウザが 認 証 画 面 で 自 動 入 力 をするために 記 憶 しているアカウント 情 報 各 種 クライアントソフトウエアの 設 定 情 報 などに 保 存 されているアカウント 情 報 送 付 されるデータの 一 例 を 図 3.17 に 示 します 図 3.17 サーバに 送 付 されるアカウント 情 報 図 3.17 の 送 信 データをデコードすると 図 3.18 に 示 したように 情 報 源 になったクライアント ソフトウエア 名 ( 図 中 の FF は Firefox を 表 す) ユーザ ID パスワード 認 証 ページの URL が 1 行 に 順 に 並 んでいることが 分 かります アカウント 情 報 が 複 数 ある 場 合 には 複 数 行 になりま す 図 3.18 図 3.17 のデータをデコードした 結 果 -22-
FTP プロトコルの 通 信 パケット 内 からアカウント 情 報 を 盗 むマルウエア PC から 送 信 される 通 信 を 盗 聴 し FTP プロトコルで 通 信 が 行 われた 際 通 信 データから FTP アカウント 情 報 を 盗 み 攻 撃 者 が 用 意 するサーバに 送 付 します 送 信 する 情 報 は 2010 年 1 月 頃 確 認 したマルウエアでは 図 3.19 のようにエンコードされていました 図 3.19 FTP 通 信 から 盗 んだ 情 報 を 送 信 する 際 のサンプルデータ 図 3.19 のデータをデコードしたデータを 図 3.20 に 示 します また 2010 年 6 月 時 点 では 図 3.19 のようなエンコード 処 理 がされず 図 3.20 のデコード 結 果 と 同 じ 内 容 の 情 報 が 平 文 で 送 信 されていました 半 年 の 間 にマルウエア 側 の 実 装 が 変 更 されたものと 思 われます 図 3.20 図 3.19 のデータをデコードしたサンプルデータ スケアウエア( 偽 ウイルス 対 策 ソフト)およびボットのためのダウンローダ スケアウエア( 偽 ウイルス 対 策 ソフト)およびボットをダウンロードします これらのマルウ エアは 金 銭 を 稼 ぐことを 目 的 として 使 用 されているものと 推 測 されます スケアウエア 導 入 される 偽 ウイルス 対 策 ソフトは 複 数 の 種 類 があり Security Tools や Internet Security 2010 Digital Protection などを 確 認 しています(Digital Protection の 起 動 時 の 画 面 を 図 3.21 に 示 します) -23-
図 3.21 Digital Protection のスクリーンショット ボット ダウンロードされるボットとして これまでに Waledac と 呼 ばれる 種 類 のボットを 確 認 し ています Waledac については Microsoft 社 により Waledac が 使 用 するドメインの 使 用 停 止 措 置 の 取 り 組 みが 行 わるなどの 対 策 が 試 みられています Microsoft 社 の 詳 細 な 取 り 組 みについては 参 考 URL: VII を 参 照 してください なお 2010 年 4 月 以 降 は Gumblar.8080 の 攻 撃 においては Waledac が 確 認 されていません 不 正 な HTTPS パケットを 送 信 するマルウエア マルウエア 内 に 保 有 している IP アドレスや URL に 対 して 不 正 な HTTPS パケットを 送 付 す るマルウエア(Pandex や Pushdo と 呼 ばれる 系 統 のマルウエア)を 確 認 しています ただし 確 認 された 期 間 は 2010 年 4 月 22 日 から 2010 年 5 月 7 日 と 非 常 に 短 い 期 間 のみでした 本 マ ルウエアについては JPCERT/CC でも 注 意 喚 起 を 発 行 しています( 参 考 URL: V) -24-
Gumblar.8080 の 攻 撃 でダウンロードされるデータファイル( 複 数 の exe ファイルがエンコードされた 状 態 で 格 納 されているデータファイル)は 接 続 毎 に 異 なる 場 合 もあり 上 述 のものと 異 なるマルウエア に 感 染 する 可 能 性 も 考 えられます 3.3.3. Gumblar/Gumblar.X と Gumblar.8080 との 相 違 点 Gumblar.8080 の 攻 撃 手 法 は Gumblar.X の 攻 撃 手 法 と 同 様 リダイレクトされるサイトのドメインが 多 岐 に 渡 っている 点 Gumblar/Gumblar.X と 同 様 に FTP アカウント 情 報 を 盗 むことを 目 的 としている 点 など 類 似 した 攻 撃 の 特 徴 を 確 認 しています しかし 以 下 の 相 違 点 も 見 られます 改 ざん 時 に 挿 入 する JavaScript や 動 作 するマルウエアの 種 類 が 異 なる 改 ざんされた Web サイトが 重 複 していない( 改 ざんされたサイトで Gumblar.X と Gumblar.8080 の 不 正 なコードが 併 記 されるケースはあまり 見 られない) FTP アカウントに 限 らず Web ブラウザに 保 存 されたアカウント 情 報 なども 収 集 している ま た FTP アカウント 情 報 などアカウント 情 報 を 盗 む 機 能 を 持 ったマルウエアだけではなく ボ ットや 偽 ウイルス 対 策 ソフトなどをダウンロードして 動 作 させるマルウエアなど 複 数 のマル ウエアが 存 在 する Gumblar.8080 の 攻 撃 で 特 徴 的 なのは Gumblar/Gumblar.X では 確 認 されていないマルウエア( 金 銭 を 目 的 とした 偽 ウイルス 対 策 ソフトやボットなど)が 確 認 されている 点 です このように 直 接 的 に 金 銭 を 狙 った 攻 撃 が 導 入 されたということは 広 義 の Gumblar の 攻 撃 手 法 が 攻 撃 者 にとってより 有 効 な 手 段 とし て 確 立 されたということを 意 味 しているのかもしれません -25-
4. 各 Gumblar の 攻 撃 手 法 に 見 る 問 題 点 および 今 後 の 対 策 前 章 まで Gumblar Gumblar.X Gumblar.8080 の 攻 撃 手 法 の 実 態 について 紹 介 してきました 本 章 では それら 広 義 の Gumblar の 攻 撃 手 法 の 背 景 にある 問 題 点 および 対 策 について 考 えていきたいと 思 います 対 策 などについて 説 明 する 前 に Gumblar.X および Gumblar.8080 に 関 連 した Web 改 ざんの 実 態 を 知 っ ていただくために 2010 年 9 月 29 日 までに JPCERT/CC が Web 改 ざんの 報 告 を 受 けた Web ページに ついて 改 ざんの 有 無 と 種 類 を 2009 年 12 月 15 日 から 2010 年 9 月 29 日 までの 期 間 定 期 的 に 監 視 し 集 計 した 結 果 を 図 4.1 に 示 します また グラフ 内 の 各 用 語 の 定 義 を 表 4-1 に 示 します なお グラフ 内 で 赤 い 丸 で 囲 っている 箇 所 は システムメンテナンスによりデータが 取 得 できていません 図 4.1 各 Web 改 ざん 状 況 の 推 移 -26-
表 4-1 図 4.1 の 補 足 情 報 Gumblar.X Gumblar.X の 改 ざん 8080-1 2010 年 6 月 11 日 以 前 の Gumblar.8080 の 改 ざん 8080-2 2010 年 6 月 12 日 以 降 の Gumblar.8080 の 改 ざん X+8080-1 Gumblar.X と 2010 年 6 月 11 日 以 前 の Gumblar.8080 の 改 ざんが 併 記 X+8080-2 Gumblar.X と 2010 年 6 月 12 日 以 降 の Gumblar.8080 の 改 ざんが 併 記 まず Gumblar.X による 改 ざんについてですが 図 4.1 からもわかるように 2009 年 12 月 22 日 を 境 に 一 時 的 に 終 息 しました しかし 2010 年 2 月 2 日 以 降 再 度 発 生 がみられ それ 以 降 2010 年 10 月 現 在 も 続 いています 次 に Gumblar.8080 による 改 ざんは 2010 年 1 月 に 改 ざんされる Web サイトが 急 増 し 2010 年 2 月 16 日 前 後 に 一 時 的 な 減 尐 が 見 られました しかし 2010 年 3 月 以 降 再 度 改 ざんされる Web サイトが 増 加 し Gumblar.X と 同 様 に 2010 年 9 月 まで 改 ざんが 続 いています 一 時 的 に 2010 年 9 月 10 日 以 降 Gumblar.8080 に 関 する 改 ざんは 停 止 しましたが 2010 年 9 月 17 日 頃 から 活 動 を 再 開 しています また Gumblar.X と Gumblar.8080 の 不 正 なコードがともに 埋 め 込 まれたケースは 2010 年 2 月 2 日 以 降 一 時 的 にみられましたが 2010 年 2 月 16 日 以 降 にはほとんど 確 認 できていません JPCERT/CC では 他 のインシデントと 同 様 Web 改 ざんの 報 告 について 適 宜 コーディネーションを 実 施 しています しかし 現 状 Web 改 ざんの 被 害 状 況 の 大 幅 な 改 善 は 見 られません この 背 景 には Web サイトが 改 ざんされていることにサイト 管 理 者 が 気 づいていないケースや 改 ざん 箇 所 が 発 見 できないケ ース 改 ざんされる 対 象 のファイルが 複 数 ( html ファイル だけではなく js ファイル など)に 渡 っ ているため 修 復 が 完 璧 ではないなど 様 々なケースが 考 えられます 状 況 を 根 本 から 解 決 していくに ためには Web サーバのコンテンツ 管 理 に 使 用 しているクライアントの 管 理 とサーバ 管 理 の 両 面 から 総 合 的 に 考 えていく 必 要 があると 考 えています -27-
4.1. クライアント 管 理 の 問 題 および 対 策 クライアント 管 理 では セキュリティパッチの 適 用 や 運 用 ポリシーの 策 定 などセキュリティ 対 策 の 実 施 の 可 否 が 挙 げられます OS のアップデートや ウイルス 対 策 ソフトの 導 入 およびパターン 更 新 などのセ キュリティ 対 策 を 確 実 に 実 施 していく 必 要 があります また もしセキュリティパッチの 適 用 が 困 難 な 場 合 には 使 用 制 限 を 設 けるなど 運 用 ポリシーの 策 定 を 行 い ポリシーに 則 っての 運 用 が 求 められま す しかし 実 際 には 基 本 的 なセキュリティ 対 策 が 実 施 されず 脆 弱 性 が 残 った 状 態 で PC が 使 用 され ているケースが 多 いのではないでしょうか 攻 撃 者 は PC 使 用 者 のそういった 穴 を 狙 い 攻 撃 をしてきて います その 代 表 例 として 効 率 的 に 攻 撃 をするため エクスプロイトツール(Exploit Kit もしくは Exploit Pack などとも 呼 ばれる)と 呼 ばれる 攻 撃 ツールを 用 いる 場 合 があります エクスプロイトツールは 多 数 存 在 し 利 用 できる 脆 弱 性 の 種 類 や 攻 撃 方 法 も 様 々です それらの 多 くは OS やアプリケーションの 複 数 の 脆 弱 性 を 悪 用 するコードを 備 えており 容 易 に 利 用 できるようになっています 図 4.2 に 示 したの は Fragus Exploit と 呼 ばれるエクスプロイトツールの 一 種 です 図 4.2 Fragus Exploit のユーザインターフェース( 一 部 ) このツールでは クライアントがどの OS を 使 用 し どの 地 域 の IP アドレスから 接 続 し どの 脆 弱 性 へ の 攻 撃 が 成 功 したかなどクライアントの 状 況 を 把 握 できるインターフェースを 保 有 しています これら -28-
の 情 報 を 攻 撃 者 が 収 集 しているということは 攻 撃 者 はクライアントの 状 況 を 把 握 し より 攻 撃 の 成 功 率 が 上 がる 攻 撃 を 選 択 することができるということを 意 味 しています また これらの 攻 撃 ツールで 使 用 される 脆 弱 性 は 更 新 されており 公 開 された 脆 弱 性 を 直 ちに 攻 撃 に 取 り 入 れ 一 般 には 未 公 開 の 脆 弱 性 についても 積 極 的 に 攻 撃 手 法 に 取 り 込 んでいます このような 攻 撃 の 被 害 を 最 小 限 に 抑 えるためには やはり 基 本 的 なセキュリティ 対 策 を 行 いこれらの 脅 威 に 備 えていく 必 要 があります OS のアップグレードや Windows Update を 実 施 し 使 用 しているアプリケーション(Adobe Reader/Acrobat Web ブラウザ Flash Player など)を 常 に 最 新 の 状 態 に 保 つ システム 上 の 仕 様 などによりパッチ 適 用 できない 場 合 には 使 用 方 法 を 制 限 するなどパッチ 適 用 以 外 の 方 法 で 制 限 を 行 い システムの 保 護 を 行 う ウイルス 対 策 ソフトの 導 入 およびパターンの 更 新 を 行 う 直 接 PC にグローバル IP アドレスが 割 り 当 てられないよう ブロードバンドルータなどを 導 入 する OS およびウイルス 対 策 ソフトのファイアーウォール 機 能 を 有 効 にする Adobe Reader/Acrobat の JavaScript 機 能 を 無 効 にする など これらの 対 策 を 行 ったとしても 攻 撃 の 被 害 を 完 全 に 防 ぐことは 難 しいですが これらの 対 策 を 複 合 的 に 使 用 することで 被 害 を 軽 減 することは 可 能 です 4.2. サーバ 管 理 / 運 用 の 問 題 および 対 策 サーバ 管 理 / 運 用 における 問 題 としては マルウエアに 感 染 しパスワードを 盗 まれたあとの 対 応 / 対 策 が 挙 げられます 広 義 の Gumblar の 攻 撃 手 法 では FTP パスワードなどのアカウント 情 報 を 盗 むことを 目 的 としたマルウエアに 感 染 します 盗 まれた FTP アカウント 情 報 は 攻 撃 者 によって 悪 用 され 盗 まれた ユーザが 管 理 / 運 用 する Web サイトの 改 ざんに 使 用 されます つまり マルウエアに 感 染 し Web サイト の 改 ざんを 受 けた 場 合 この 広 義 の Gumblar 攻 撃 の 歯 車 の 一 つとして 使 用 されてしまいます このよう な 状 況 になった 場 合 Web サイトのメンテナンスを 行 う PC などからマルウエアを 駆 除 する 使 用 して -29-
いたパスワードを 再 設 定 する 改 ざんされたサイトのコンテンツのチェックを 迅 速 にかつ 確 実 に 実 施 す るなど 対 応 を 実 施 する 必 要 があります しかし 実 際 のところ 図 4.1 のデータでもわかるように 改 ざん された Web サイトの 被 害 状 況 の 改 善 は 確 認 できていないのが 状 況 です その 背 景 には 以 下 の 問 題 があ ると 考 えています 被 害 に 気 づいていない 広 義 の Gumblar で 感 染 するマルウエアに 自 分 の PC が 感 染 していることに 気 づいていないた め FTP パスワードが 盗 まれていることにも 気 づいていない 盗 まれた FTP パスワードを 使 用 して 自 分 が 管 理 している Web サイトが 改 ざんされているこ とに 気 づいていない パスワードの 管 理 の 問 題 セキュリティ 対 策 がしっかり 実 施 されていない PC でサーバを 管 理 / 運 用 していたため マル ウエアに 感 染 し FTP アカウント 情 報 を 盗 まれてしまう マルウエアに 感 染 した PC からパスワードを 変 更 し 結 果 的 に 再 度 FTP アカウント 情 報 を 盗 まれてしまう Web コンテンツのチェックの 問 題 改 ざんされた 後 に 実 施 する Web サイトのコンテンツのチェックが 不 十 分 で html ファイル だけ 修 復 し js ファイル や cgi ファイル など 他 のファイルの 改 ざんを 見 過 ごしている など これらの 問 題 への 対 応 は サーバのコンテンツ 管 理 を 委 託 している 場 合 には 委 託 先 においても 実 施 し てもらう 必 要 があります これらの 問 題 を 改 善 していくことで 広 義 の Gumblar の 攻 撃 手 法 の 被 害 にあ った 場 合 にも 被 害 を 最 小 限 に 抑 えることが 可 能 になります また サーバ 管 理 / 運 用 の 側 面 だけではな く クライアント 管 理 の 側 面 と 併 せ 総 合 的 に 対 応 をしていき 被 害 を 最 小 限 に 抑 える 努 力 をしていく 必 要 があります -30-
5. 最 後 に 広 義 の Gumblar の 攻 撃 手 法 による 攻 撃 は 2010 年 10 月 現 在 も 継 続 しています 攻 撃 者 は 広 義 の Gumblar の 攻 撃 を 用 いてインターネット 上 の PC に 自 分 の 思 い 通 りのマルウエアをインストールし 自 身 のネット ワークインフラの 基 盤 を 構 築 しています 攻 撃 者 にとって Web 改 ざんは 基 盤 構 築 の 一 部 であり 自 身 のマルウエアの 感 染 者 を 増 やすために 巧 妙 な 攻 撃 手 法 を 用 いて 攻 撃 を 行 ってきています これらの 基 盤 の 一 部 となる 正 規 Web サイトは 攻 撃 者 にとって 自 由 に 扱 える 環 境 の 一 部 であり ユーザを 罠 にはめ るための 手 段 として 悪 用 されています しかし Web 改 ざんの 被 害 は 図 4.1 で 示 したように 大 きな 改 善 は 見 られていません その 背 景 には サーバを 管 理 / 運 用 する 側 に 被 害 の 実 感 がないという 点 が 一 番 に 挙 げられるのではないでしょうか 被 害 の 実 感 がないということは 改 ざんされた 状 態 が 長 期 間 継 続 す る そして 改 ざんされた Web サイトに 接 続 したユーザがマルウエア 感 染 などの 被 害 に 遭 遇 し さらに 被 害 が 拡 大 する その 止 まらない 負 のスパイラルが 広 義 の Gumblar を 長 期 間 にわたり 有 効 な 攻 撃 手 法 とし て 確 立 させている 原 因 にもなっていると 考 えられます この 負 のスパイラルを 元 から 断 つには クライ アント 側 のセキュリティ 向 上 も 当 然 必 要 ですが それ 以 上 にサーバを 管 理 / 運 用 する 側 の 意 識 の 改 善 およ び 迅 速 な 対 応 が 必 要 不 可 欠 な 要 素 であることは 誰 の 目 から 見 ても 明 らかです 今 後 もこのような 攻 撃 に よる 被 害 が 低 減 しないようであれば Web サイト 管 理 者 の 社 会 的 責 任 を 追 求 するような 意 見 が 強 くなる でしょう しなしながら このような 攻 撃 によって 悪 用 されているのは Web サイトの 管 理 / 運 用 におい て 慣 習 的 に 取 られている 仕 組 や 体 制 に 潜 在 してきた 脆 弱 性 であり Web サイト 管 理 者 に 由 来 する 脆 弱 さ はその 一 部 に 過 ぎません 広 義 の Gumblar による 攻 撃 をそのような 仕 組 や 体 制 に 対 する 警 鐘 であるとと らえ Web システムの 設 計 段 階 から 管 理 / 運 用 も 含 めた 見 直 しを 検 討 する 時 期 にきているのではないでし ょうか セキュリティに 絶 対 はありません 自 身 の 対 応 / 対 策 が 自 分 以 外 を 守 ることになるという 点 をし っかり 認 識 し 今 一 度 対 応 / 対 策 について 検 討 されることをお 勧 めします 本 報 告 書 では Gumblar Gumblar.X Gumblar.8080 の 各 攻 撃 手 法 の 実 態 について 説 明 をしてきました 今 後 も 広 義 の Gumblar によって 確 立 されたインフラは 脆 弱 なシステムが 存 在 し 続 ける 限 り 使 用 され 変 化 していくと 考 えられます その 状 況 の 中 で 如 何 に 自 身 が 被 害 者 および 加 害 者 にならないため 各 個 人 組 織 が 基 本 的 なセキュリティ 対 策 を 確 実 に 実 施 し 被 害 拡 大 を 防 止 するための 対 策 が 行 えるかという 点 が 重 要 になります 広 義 の Gumblar の 攻 撃 手 法 へのよりよい 対 策 を 検 討 していくにあたり 本 報 告 書 を 参 照 していただければ 幸 いです -31-
6. 参 考 URL I. JavaScript が 埋 め 込 まれる Web サイトの 改 ざんに 関 する 注 意 喚 起 https://www.jpcert.or.jp/at/2009/at090010.txt II. Web サイト 経 由 でのマルウエア 感 染 拡 大 に 関 する 注 意 喚 起 https://www.jpcert.or.jp/at/2009/at090023.txt III. Web サイト 改 ざん 及 びいわゆる Gumblar ウイルス 感 染 拡 大 に 関 する 注 意 喚 起 https://www.jpcert.or.jp/at/2010/at100001.txt IV. FTP アカウント 情 報 を 盗 むマルウエアに 関 する 注 意 喚 起 https://www.jpcert.or.jp/at/2010/at100005.txt V. いわゆる Gumblar ウイルスによってダウンロードされる DDoS 攻 撃 を 行 うマルウエアに 関 する 注 意 喚 起 https://www.jpcert.or.jp/at/2010/at100011.txt VI. 日 本 シーサート 協 議 会 ガンブラーウイルス 対 策 まとめサイト http://www.nca.gr.jp/2010/netanzen/index.html VII. The Official Microsoft Blog News and Perspectives from Microsoft : Cracking Down on Botnets http://blogs.technet.com/microsoft_blog/archive/2010/02/25/cracking-down-on-botnets.aspx <お 願 い> 引 用 の 際 は 引 用 元 名 資 料 名 URL を 明 示 してください なお 引 用 の 際 は 引 用 先 文 書 時 期 内 容 等 の 情 報 を JPCERT/CC 広 報 (office@jpcert.or.jp) まで メールにてお 知 らせください 今 後 より 良 い 情 報 を 提 供 するため どこで どのような 方 に どのような 場 面 で お 使 いいただけているのかを 把 握 し 検 討 するため ご 協 力 をお 願 いいたします -32-