Home > NCSIRTアドバイザリ > Gumblar

NCSIRTアドバイザリ

Gumblar
(2009/12/10発行 NCSIRTレポートより )

■Gumblarとは?
今年(2009年)の春頃から、国内外のWebサイトの改ざんが相次ぎ、問題となりました。当初、Webサイトの脆弱性等を衝いた攻撃による改ざんと推測されていたそれは、調査が進むにつれ、特定の種類のウィルスが関係していることが明らかになります。このウィルスは、感染のために使われているドメイン(gumblar.cn)から”Gumblar”、あるいは初期に改ざん被害を受けたサイト名から”GENOウィルス”などと呼ばれています。

Gumblarは、改ざん被害を受けたWebサイトを閲覧したユーザを、ウィルス配布サイトへ誘導してユーザ端末へ感染します。感染までのフローを簡略化したものを図1に示します。感染した端末は外部のコントロールサーバへアクセスし、新たなウィルスをダウンロードしたり、外部のコントロールサーバの命令に応じて動作を行うといわれています。これらはそれまでのウィルスでもよく使われていた手法だったのですが、Gumblarがこれだけ広く感染し、知られるようになったのは「FTPアカウントの盗用」という機能によるものでした。


図1 Gumblar感染の概念図*1

■FTPアカウントの盗用
Gumblarがこれだけ急速・広範囲に拡散した背景には、大量のWebサイトが改ざんされ、ウィルス配布サーバへの誘導を行っていたことがあります。では、どのようにして短期間に大量のWebサイトを改ざんしていったのでしょうか?
Webページ改ざんの原因といえば、従来はApacheやMicrosoft IISといったWebサーバ用のソフトウェア脆弱性を衝いてWebページを書き換えることが真っ先に疑われます。しかし、今回の件では、被害を受けたサーバを見ても不正侵入をされたような形跡が見つからなかったといわれています。その原因は、Webページへの攻撃のために使われた手法が、脆弱性を衝くような「裏口」からのアクセスではなく正規のIDとパスワードを用いた「正面玄関」からの侵入であったためでした。
では、攻撃者はどのようにして正規のIDとパスワードを手に入れたのでしょうか? これこそ、Gumblarを有名たらしめたFTPアカウント盗用機能でした。

GumblarのFTPアカウント盗用機能の概念図を図2に示します。Gumblarの感染ターゲットのひとつに、Webサイト管理者の端末が上げられます。Webサイト管理者は自分の端末からWebサイトへのファイルのアップロード/ダウンロードを行います。この端末にGumblarが感染していた場合、GumblarはWebサイトへのアクセスのためのID・パスワードを記録し、攻撃者の元へ送り出します。こうして手に入れたID・パスワードを使って、攻撃者は「正面玄関から」Webサイトへ侵入し、サイトの内容を改ざんすることができたのです。


図2 アカウント盗用によるWeb改ざん概念図*1

アカウントの盗用自体は、インターネット黎明期から存在する手法であり目新しいものではありません。しかし、この手法とWebブラウザに対するJavaScript悪用などの近来の手法を組み合わせたことにより、新たな脅威として発現したと言えるでしょう。

 

■NRIセキュア Firewall Network Center(FNC) での検知状況
Gumblarに感染したWebサイトは、個人のWebページから商用サイトまで多岐に渡っています。このため、「怪しいページへのアクセスは避ける」という従来の対策は効果を発揮しにくいのが実情です。このため、アンチウィルスソフトウェアによる検知がひとつの有効な対応手段となります。Webアクセス用のゲートウェイサーバや、各クライアントPCへインストールされたアンチウィルスソフトウェアがGumblarを検知できれば、そのWebページへのアクセスをブロックし、PCを守ることができます。

NRIセキュアが提供する、FNCインターネット接続サービスでは、ウィルスチェックサーバによるWebウィルスの検知を行っています。図3に、FNCインターネット接続サービスでのGumblar検知数をまとめます。10月20日頃から検知数が急増していることが分かります。


図3 Gumblarアクセス検出数推移

■これらのウィルスから身を守るには

前述のように、ゲートウェイやクライアントPC上でウィルスフィルタリングを行っていれば、ここでのアクセス遮断を期待することができます。しかしながら、昨今のウィルスは亜種の発生も多く、ウィルスフィルタリングをすり抜けることがあるため、残念ながらこれだけでは万全の対策とは言えません。
他のウィルス同様、OSやソフトウェアのバージョンを最新のものに保つことや、アンチウィルスソフトの定義ファイルを最新に保つことなども重要ですが、それに加えWeb更新アカウント盗用ウィルスについては万一感染してしまった場合の対策として、下記のような方法が有効です。

  • Webサーバ更新用パスワードを定期的に変更し、アカウント情報が流出した場合の被害を最小に抑える
  • Webサーバ更新用端末とOA用端末を分ける。できれば両者のネットワークセグメントを分割し、容易にアクセスできないようにする
  • Webサーバ更新のためのアクセス経路やアクセス元IPアドレスを制限し、仮にアカウント情報が流出しても外部からアクセスできないようにする
  • Webサーバに変更管理を行う仕組みを導入し、予期せぬコンテンツの変更を検知できるようにする
■参考

The Gumblar system (Viruslist.com Analyst’s Diary)
http://www.viruslist.com/en/weblog?weblogid=208187897外部リンク

*1 これらの図は概念的なものであり、理解を容易にするために簡略化している箇所があります
※2009/12/10発行 NCSIRTレポートより 抜粋
※NCSIRTレポートとは:当社顧客向けに毎月報告するレポート

2010年1月12日 NCSIRT

NCSIRTアドバイザリ一覧へ

PAGE TOP
お問い合わせ / 資料請求

ご不明な点、ご要望、ご相談等ありましたら、お気軽にお問い合わせください。資料請求も承っております。

お問い合わせ 資料請求


このページを印刷