HOME情報セキュリティ資料・報告書・出版物調査・研究報告書情報セキュリティ技術動向調査(2009 年下期)

本文を印刷する

情報セキュリティ

情報セキュリティ技術動向調査(2009 年下期)

5 Web媒介型攻撃Gumblarの動向調査

井上 大介

1. 新たな脅威 Gumblar

  2009年初頭から、日本国内の大手企業を含む様々なWebサイトの改ざんと、それらのWebサイトを閲覧したPCがマルウェアに感染するという事案が多発している。これらは、Gumblarと呼称されるWeb媒介型の攻撃手法によるものである。本稿では、このGumblarについて、その基本的な仕組みを概観するとともに、対策手法について述べる。

2. ドライブバイダウンロードとWebサイト改ざんの連鎖

  ユーザがWebサイトを閲覧した際に、ユーザのWebブラウザもしくはWebブラウザが利用するプラグインやアプリケーションの脆弱性が悪用され、ユーザが気付かないうちにマルウェアのダウンロードと実行が行われる攻撃手法をドライブバイダウンロード(drive-by-download [1])と呼ぶ。GumblarもユーザPCへのマルウェア感染の際に、このドライブバイダウンロードの手法を用いている。
  Gumblar以前のドライブバイダウンロードは、攻撃の起点となるWebサイトを用意するための事前準備を必要としていた。例えば、攻撃者がSQLインジェクション等によって正規のWebサイトを攻撃し、マルウェアや不正なスクリプトをWebのコンテンツに埋め込むといったWebサイトの改ざんが、事前準備として行われることが多かった。その一方で、Webサイト側のSQLインジェクション対策が進み、SQL文中の特殊文字の適切なエスケープ処理やWAF(Web Application Firewall)の導入等が浸透するにつれ、攻撃者がWebサイト(特にサーバ側のセキュリティ対策を十分に行っている大手企業のWebサイト)を正攻法で攻略することは難しくなってきていた。
  しかしながらGumblarは、互いに独立した攻撃手法と考えられていたWebサイトの改ざん(サーバへの攻撃)とドライブバイダウンロード(クライアントへの攻撃)を巧みに連鎖させることで、Webサイトの改ざんとマルウェアの感染拡大の巨大なスパイラルを作り出している。

3. Gumblar攻撃の流れ

  Gumblar攻撃の流れを図1に示すとともに、以下に概説する。

図1: Gumblar攻撃の流れ

(1) ユーザPCがWebサーバ1(既に攻撃者によって改ざんを受けているサーバ)にアクセスし、Webコンテンツを閲覧する。
(2)Webサーバ1のWebコンテンツには、JavaScriptによる不正なリダイレクト命令が難読化された状態で挿入されており、ユーザPCは攻撃者の制御下にあるマルウェア配布用の攻撃者サーバ1にリダイレクト(誘導)される。
(3)ユーザPCが攻撃者サーバ1にアクセスすると、バージョンの古いAdobe Readerの脆弱性を攻撃するPDFファイルや、Flash Playerの脆弱性を攻撃するSWF(Small Web Format)ファイル等がダウンロードおよび実行され、ユーザPCの権限が奪取される。その後、複数のマルウェアがダウンロードされユーザPCに感染する。
(4)ユーザPCに感染したマルウェアは、ドライバとしてユーザPCの通信を監視するとともに、ユーザPCの中に保存されているFTPアカウント情報(ID、パスワード)を探査する[2]
(5)マルウェアによる通信の監視中に、ユーザがWebサーバ2にFTPアクセスを行った場合(またはマルウェアがユーザPC内でFTPアカウント情報を発見した場合)、攻撃者の制御下にある情報収集用の攻撃者サーバ2に、ユーザのFTPアカウント情報が送信される。
(6) 攻撃者は窃取したFTPアカウント情報を用いて、正当なユーザになりすましてWebサーバ2にFTPアクセスし、Webコンテンツにリダイレクト命令を挿入する。


  このように、Gumblarとは特定のマルウェアの名称ではなく[3]、ドライブバイダウンロードによるマルウェア感染と、それに続くWebサイトの改ざんという一連の攻撃手法を指し示したものである。

4. Gumblarの巧妙さと継続的な進化

  日本では複数の大手企業のWebサイトがGumblarによる改ざんの被害に遭っている。これは、大手企業のWebサイトをメンテナンスしている管理者(自社あるいは外注先の企業)のPCがマルウェアに感染し、Webサイト管理用のFTPアカウント情報が盗用されていることに起因している。攻撃者は堅牢なWebサーバを直接攻撃するのではなく、セキュリティ対策の甘いPCから攻略し、窃取した正規のアカウントでWebサーバにログインするという巧妙な手口を取っている。
  攻撃者がWebコンテンツに挿入するリダイレクト命令は、多くの場合難読化されているため、Webサイトの管理者であっても改ざんに気付きにくい。しかも難読化前のURIを含む文字列は頻繁に更新されている[4]ため、難読化文字列のシグネチャ化やURIのブラックリスト化を難しくしている。
  また、Gumblarの攻撃手法自体も進化を続けており、Gumblar.xなどの亜種と思われる手法や、8080.ru、8080.cnなど類似の手法も出現している[5]。これらの攻撃手法では、Adobe ReaderやFlash Player以外にも、Microsoft Data Access Components、Internet Explorer 7、JRE(Java Runtime Environment)、SnapShot Viewer、DirectShow等、様々なアプリケーションの脆弱性が利用されている[5]。また、Webコンテンツにリダイレクト命令を挿入する代わりに、Apacheの不正な設定ファイル(.htaccess)を特定のディレクトリに置くことで、検索エンジンからのアクセスや404エラー等の発生時に攻撃者サーバにリダイレクトする(Webサイトの管理者に気付かれにくい)手法も報告されている[6]
  ドライブバイダウンロードによってユーザPCへの感染に成功したマルウェアは、ユーザPCのローカルディスクの中から、FTPクライアント機能を有するアプリケーションが保存しているFTPアカウント情報を探索する。Gumblarが流行の兆しを見せ始めた2009年初頭頃には、ダウンロードされたマルウェアに、ローカルディスクからFTPアカウント情報を窃取する機能は含まれていなかった(FTP通信からの窃取のみ)[7]。しかし、ドライブバイダウンロードの原理上、攻撃者は配布するマルウェアを自由に変更することができ、このローカルディスクからのFTPアカウント情報の窃取をはじめ、Gumblarによって感染するマルウェアは今日までに様々な機能強化がなされてきている。なお、GumblarによるFTPアカウント情報の窃取が確認されているアプリケーションは以下の通りである[8]


ALFTP 5.2 beta1
BulletPloof FTP Client 2009.72.0.64
EmFTP 2.02.2
FFFTP 1.96d
FileZilla 3.3.1
FlashFXP 3.6
Frigate 3.36
FTP Commander 8
FTP Navigator 7.77
FTP Now 2.6.93
FTP Rush 1.1b
SmartFTP 4.0.1072.0
Total Commander 7.50a
UltraFXP 1.07
WinSCP 4.2.5

5. Gumblar対策

  ここまで述べたように、GumblarはユーザPCとWebサイトの両方に対して攻撃と改ざんを試みる。したがって、Gumblarによる攻撃を防ぐためには、ユーザ側(ユーザおよびユーザPCが属するネットワーク管理部門)とWebサイト側の両面からの対策が求められる。

5.1. ユーザの対策

  ユーザが行い得るGumblar対策は、基本的には従来のユーザPCのセキュリティ対策と同様、以下の通りである。

    (1) Windows OSの最新版へのアップデート
    (2) アンチウイルスソフトの導入とシグネチャの更新
    (3) 各種アプリケーションやプラグインのアップデート
      ‐ Webブラウザ
      ‐ Adobe Reader
      ‐ Flash Player
      ‐ JRE
      ‐ Microsoft Office製品 等

  ここでは特に、OS更新とアンチウイルスソフト導入だけではなく、Webブラウザとそのプラグインや、各種アプリケーションのアップデートを行うことが重要である。なお、対策の詳しい実施方法については文献[5][9]等を参考のこと。

5.2. ユーザPCのネットワーク管理部門の対策

  ユーザPCが企業や学校等の組織に属している場合、その組織のネットワーク管理部門においては、以下の対策を行うことができる。

    (4) マルウェア配布用サーバのIPアドレスによる検知/フィルタリング
    (5) 情報収集用サーバへのHTTPリクエストによる検知/フィルタリング

  対策(4)は、マルウェア配布用サーバへのリダイレクト(図1 の(2))を検知/フィルタリングするために用いられる[10]。ただし、2009年終盤に再流行したGumblarでは、マルウェア配布用サーバの台数が大幅に増加[11]したため、IPアドレスのブラックリスト化を難しくしている。対策(5)は、ユーザPCから情報収集用サーバにFTPアカウント情報を送信する際(図1 の(5))に用いられるHTTPリクエストが、RFC違反の特殊なものであることを利用した検知/フィルタリング手法である[11]

5.3 Webサイト側の対策

  Webサイトの管理者が行い得るGumblar対策として、以下が挙げられる。

    (6) WebサーバへのFTPアクセスの制限
    (7) Webコンテンツの改ざん検知
    (8) Webコンテンツの異常検知

  対策(6)は、WebサーバにFTPアクセスできるIPアドレスに制限を設け、既知のIPアドレス以外からのFTPアクセスを拒否することで、攻撃者による不特定のIPアドレスからのFTPアクセスを防ぐことができる。対策(7)は、Webサイト上のコンテンツを定期的にチェックし、Webサイトの管理者が意図しない不正な書き換え等の発生を検知する方法である。ここでは、Webコンテンツの改ざん検知技術[12][13]が利用できる。対策(8)は、Webサイト上のコンテンツを自動巡回し、不正なリダイレクト命令やマルウェア等の異常なコンテンツが含まれていた場合に、それらを検知する方法である。ここでは、クライアントハニーポットと呼ばれる、ユーザからのWebアクセスを模擬する能動的なハニーポット技術の研究開発と運用が進められている[14][15]

6. まとめ

  本稿では、Webを媒介とした新たな攻撃手法であるGumblar、およびその対策について概説した。Gumblarは依然進行中の事象であり、継続的な経過観測が必要である。

以上

参考文献

[1] Niels Provos, Dean McNamee, Panayiotis Mavrommatis, Ke Wang and Nagendra Modadugu “The Ghost In The Browser: Analysis of Web-based Malware,” HotBots'07, April, 2007.
[2] JM Hipolito, “Stolen FTP Credentials Key to Gumblar Attack,” TrendLabs Malware Blog, Jun 2009.
http://blog.trendmicro.com/stolen-ftp-credentials-key-to-gumblar-attack/
[3] ノートン プロテクションブログ, “Gumblar (ガンブラー) ?Web 攻撃を解説,” Jan 2010.
http://communityjp.norton.com/t5/blogs/blogarticlepage/blog-id/npbj/article-id/45
[4] Mary Landesman, “Gumblar Morphs Again: Now Martuz.cn,” ScanSafe STAT Blog, May 2009.
http://blog.scansafe.com/journal/2009/5/18/gumblar-morphs-again-now-martuzcn.html
[5] So-net セキュリティ関連ニュース, “「ガンブラー」「サイト改ざん」めぐる基本のQ&A ~ 何が起きている? 対策は?,” Jan 2010.
http://www.so-net.ne.jp/security/news/newstopics_201001.html
[6] ラック, “Gumblar(ガンブラー)ウイルスによる新たなホームページ改ざん被害を確認,” Mar 2010.
http://www.lac.co.jp/info/alert/alert20100303.html
[7] INTERNET Watch, “ボット、偽ソフト、ルートキット……「Gumblar」感染被害の実態,” Mar 2009.
http://internet.watch.impress.co.jp/docs/news/20100309_353620.html
[8] JPCERT/CC, “FTP アカウント情報を盗むマルウエアに関する注意喚起,” Feb 2009.
http://www.jpcert.or.jp/at/2010/at100005.txt
[9] Cyber Clean Center, “ホームページからの感染を防ぐために,”.
https://www.ccc.go.jp/detail/web/
[10] ラック, “Gumblar(ガンブラー)ウイルスの組織内感染拡大とホームページ改ざん被害増加に伴う対策の確認,” Dec 2009.
http://www.lac.co.jp/info/alert/alert20091225.html
[11] IIJ, “Internet Infrastructure Review,” vol.006, pp. 11-12, Feb 2010.
http://www.iij.ad.jp/development/iir/pdf/iir_vol06.pdf
[12] Tripwire, http://tripwire.co.jp/security/solution/
[13] WebS@T, http://www.kaizankenchi.jp/
[14] Honey Monkey,
http://research.microsoft.com/en-us/um/redmond/projects/strider/honeymonkey/
[15] gred, http://www.gred.jp/

 

目次へ 次へ