IPAは、毎月発表するコンピュータウィルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、昨年から被害が多数報告されているガンブラーについて、注意を喚起している。
猛威を振るうガンブラー
2009年末からガンブラーの被害が相次いでいる。ガンブラーは、特定のウイルスを指すものではなく、悪意のある者(攻撃者)が複数の攻撃手段を併用し、多数のPCに様々なウイルスを感染させようとするために使う、一連の手口を意味する。実際には、以下のような被害が想定される。
・セキュリティ対策が不十分なPCでは、Webサイトを閲覧するだけでウイルスに感染させられてしまい、かつ、ウイルスに感染したことが見た目にはまったくわからない場合がある
・有名企業のWebサイトが攻撃に使われる場合があるため、「不審なWebサイトを閲覧しない」といった回避策が有効とならず、日常的に利用しているWebサイトが突然危険なWebサイトとなる可能性もある
・感染させられるウイルスは特定のものではなく、攻撃者がコントロールできるため、どのようなウイルスに感染させられるかわからない
ガンブラーによる攻撃は、インターネットを利用しているすべての人に、大きな危険を発生させる。IPAでは、ガンブラーがどのような手口であるのかを知り、対策を講ずることが求められるとしている。さらに、ガンブラーでは、近年インターネットで悪用されている様々な攻撃手法が組み合わされているため、ガンブラー以外の脅威に対しても有効な防御策となりうると指摘する。
ガンブラーの手口の詳細
IPAでは代表的なガンブラーの手口を解説している。なお、この手口は細かく分類すると様々なパターンがあり、また、亜種なども発見されており、異なる手口もある。ここで紹介する手口は、2009年末から流行中の典型的なものである。
第一段階:正規の管理者によるWebサイトの管理
第一段階はガンブラーの手口の一部ではないが、一般的な背景。Webサイト管理者は、Webページの作成・更新を行う際、Webサイト管理用の秘密のIDとパスワードを使うことで、他者が勝手にWebページを書き換えることができないようにしている。
第二段階:正規のWebサイトの管理用IDとパスワードの奪取
まず、攻撃者はなんらかの方法で、正規のWebサイトの管理用のIDとパスワードを、そのWebサイトの管理者から盗み出す。手段として、情報を盗み出すタイプのウイルス(スパイウェア)などが使われていることが推測される。
第三段階:悪意のあるWebサイトへのウイルス配置
攻撃者が悪意のあるWebサイトを作成し、そこに複数のウイルスを配置する。攻撃者は、いつでもこれを任意の(たとえば新種の)ウイルスに入れ替えることができる。
第四段階:正規のWebサイトの改ざん
第二段階で入手した「Webサイト管理用のIDとパスワード」を使い、攻撃者はWebサイトの管理者になりすまし、格納されているWebページのデータを不正に改ざんする。具体的には、攻撃者はWebページの中に「このページを開いたPCを、悪意のあるWebサイト(第三段階で用意したもの)へ誘導する」という悪意のある命令を埋め込み、罠を仕掛ける。
第五段階:改ざんされたWebサイトの閲覧
利用者がいつものように正規のWebサイトを開くが、そのWebページは攻撃者により第四段階で改ざんされたものである。利用者には、どのページが改ざんされているかを、事前に知ることはほぼ不可能である。PCの画面では、見た目には改ざんされる前との違いがないWebページが表示された状態となり、挙動に変化のないまま、第四段階でWebページの中に仕掛けられた悪意のある命令が、ブラウザの中で動作する。
第六段階:悪意のあるWebサイトへの誘導とウイルス感染
悪意のある命令が実行され、利用者への確認なしにブラウザは悪意のあるWebサイトへ誘導(勝手に接続)される。そして、最初のウイルスのファイルがダウンロードされる。この最初のウイルスは、正確には「攻撃コード」と呼ばれるもので、直接PCに被害を与えるものではなく、まずPCの「ウイルスの侵入を許してしまう弱点」を悪用して侵入することを目的としたものである。
侵入に成功すると、そのウイルスは、悪意のあるWebサイトからさらに別のウイルスをダウンロードし、PCに感染させる。攻撃者はウイルスを随時入れ替えることができるため(第三段階)、利用者が最終的にどのウイルスに感染させられるかはわからない。ここまでの一連の動作は、多くの場合PCの画面への変化がないまま行われるため、利用者が危険に気づくことは難しいと思われる。
ガンブラーの対策
IPAでは、ガンブラーは、複雑な手口により利用者をウイルスに感染させるが、一連の手口の個々の攻撃方法は、決して新しいものではないと指摘する。したがって、基本的なウイルス対策こそが重要であり、また、それがガンブラーの被害を防ぐことが可能としている。再度、対策方法を確認しよう。
まずは、脆弱性の解消である。第六段階では、「Web感染型ウイルス」はPC内にある「ウイルスの侵入を許してしまう弱点」、すなわち脆弱性を悪用して侵入する。したがって、この脆弱性を解消することが、重要な対策の1つとなる。
次いで、ウイルス対策ソフトの導入である。ウイルス対策ソフトは万能ではないが、重要な対策の1つとなる。ウイルス対策ソフトを導入し、ウイルス定義ファイルを最新に保つことで、ウイルスの侵入阻止や、侵入してしまったウイルスを駆除することが可能だ。近年のウイルスは、PCの画面の見た目では感染していることが分からないものが多いため、ウイルスの発見と駆除には、ウイルス対策ソフトが必須となる。
そして、「ゼロデイ攻撃」への対策である。「脆弱性が発見されてから、その修正プログラムが公開されるまでの期間」は、脆弱性を解消できない状態となる。この期間を狙う攻撃が「ゼロデイ攻撃」である。「ゼロデイ攻撃」に対しては、脆弱性を解消できないため、できる限りの「回避策」を取ることで対応する(回避策は、問題となっているソフトウェアによって異なる)。ガンブラーの手口でも、一部で「ゼロデイ攻撃」が行われたことが確認されている。 Webサイト管理者については、上記以外にも講じるべき対策がある。詳しくは、IPAのWebページを参照してほしい。