猛威をふるうガンブラーの徹底対策術

　民主党やホンダなどの大手サイトが、ガンブラーによって次々と改ざんされている。表示しただけでウイルスに感染する可能性があるので、徹底的な対策が必要だ。

　特に自分でブログなどを開設している人は警戒したい。（テクニカルライター・三上洋）

民主党、ホンダ、JR東日本など大手サイトが改ざん被害

民主党東京都総支部連合会のウェブサイトも改ざん被害を受けた。12月25日から1月4日にかけて改ざんされた状態にあり、閲覧した人はウイルス感染している可能性がある

　前回の記事「ガンブラーウイルスが猛威…JR東サイトも改ざん」でも紹介したように、ガンブラー（Gumblar、別名GENOウイルス）と亜種のウイルスによる被害が急拡大している。昨年12月からの被害だけでも、JR東日本、民主党東京都総支部、本田技研、モロゾフ、ハウス食品、信越放送、ローソン、京王電鉄などの大手企業サイトが改ざんされた。また、検索サイトのムーター、ネット情報サイトのデジタルマガジン、輸入品が中心の商社・三栄コーポレーションの一部ブランドのサイトも改ざんされている。

　この他にも、改ざんされた状態で放置されているサイトが現在もある。検索サイトで探しただけでも中小企業、歯科医院のサイト、通販サイトなどが改ざんされた状態となっている。セキュリティー大手のカスペルスキーによれば、国内で3000以上のサイトが改ざん被害を受けているそうだ。これらのサイトを表示しただけでウイルスに感染する可能性がある。

　なお、12月中旬以降の改ざん被害の多くは、それ以前とは異なるタイプの攻撃コードが使われている。正確に言うと、それ以前のガンブラーとは異なるが、ガンブラーの亜種の一つと考えてもいいだろう。

感染源はウェブサイト制作会社？

　ガンブラーは昨年4月ごろと10月ごろにも国内で大きな被害が出たが、その時は通販サイトなどの中小のサイトが中心だった。しかし今回は、大手企業サイトが軒並みやられている。これについて、セキュリティー対策団体のある幹部は「どうもウェブサイト制作会社のパソコンが感染し、ID・パスワードが盗まれているようだ」とコメントしている。改ざんされたサイトを地域ごとにリストアップしたところ、同一の制作会社が運営しているサイトがみつかったからだ。改ざんされた大手企業への取材でも、ウェブの制作・変更はすべて制作会社に任せている、とコメントしているところがある。

　ガンブラーはウェブサイトの更新に使われるFTPのID・パスワードを盗み取って改ざんする。そのため改ざんされたサイトは、どこかでFTPのID・パスワードが流出している。大手企業では社内の人間がFTPを直接使って更新するパターンは少ないはずで、多くは外注の制作会社がFTPで更新しているだろう。

　そこから考えても、ウェブサイト制作会社が感染源になっている可能性が高い。もしウェブサイト制作会社が大手であれば、他の企業サイトも担当しているから、今後さらに改ざん被害が広がりそうだ。企業のウェブサイト担当者は、外注している制作会社が大丈夫かどうか確かめる必要がある。

単なるウイルス駆除ソフトでは対策できない

ガンブラー関連の不正プログラム「カテス」の動作。パソコンにあるFTPのID・パスワードを盗み取って外部に送信する（トレンドマイクロ「不正プログラムの傾向と対策セミナー」）

　セキュリティー対策大手のトレンドマイクロは、7日に「不正プログラムの傾向と対策セミナー」を開催した。その中でガンブラー関連の不正プログラム「カテス（TSPY_KATES.MOD トレンドマイクロでの名称）」のデモンストレーションが行われた。テスト環境の中で、ガンブラーの動きを実演するものだ。

　このデモンストレーションによると、ガンブラーはパソコンの設定ファイル（レジストリ）を書き換え、ネットワークに流れるデータを監視。そこで発見したFTPのID・パスワードを収集して外部に送信するしくみとなっていた。もし感染に気づかないままでいれば、常にFTPのID・パスワードが犯人側に送信されてしまう。前回の記事でも紹介したように、改ざん被害を何度も受けている企業があるが、これはウイルスが残ったままでいるためだろう。ID・パスワードを変更し、ウェブサイトを直したとしても、ウイルスが残っているために後で再び書き換えられてしまっている。

　なぜウイルス感染に気づかないのだろうか。それはウイルス対策ソフトのパターンファイルが、ガンブラーの亜種を検知できないからだ。トレンドマイクロ・スレットモニタリングセンターの飯田朝洋氏は「亜種が登場するスピードが速すぎて、パターンファイル方式での検知・駆除はむずかしい」とコメントしている。これはトレンドマイクロだけではなく、他のセキュリティー対策ソフトでも同じこと。ウイルスを見つけ出すのは、パターンファイル方式では無理だと考えたほうがいいだろう。

　ガンブラーをはじめとしたウェブサイトからの感染を防ぐには、パターンファイルではなくURLフィルタリング機能が必要だ。不正なスクリプトがある外部サイト、ウイルスが落ちてくる外部サイトへのアクセスを遮断する機能だ。これがあれば、たとえガンブラーに感染したとしても、ID・パスワードは流出しないし、ウイルスが増殖する可能性も低くなる。

　URLフィルタリング機能は会社によって呼び名が異なるが、有料ソフトの多くが対応して機能を充実させてきている（トレンドマイクロでは「Webレピュテーション」）。自分が使っているウイルス対策ソフトにURLフィルタリング機能があるのか、ぜひ確認しよう。無料のウイルス対策ソフトでは付いていない場合が多いので不十分だ。必ずURLフィルタリング機能の付いたウイルス対策ソフトを導入したい。

フラッシュプレーヤー、アクロバットリーダーなどを最新に

サイバークリーンセンターによる「ホームページからの改ざんを防ぐために」

　ガンブラーなど最新のウイルスに備えるには、いま使っているソフトを最新状態に保つことが重要だ。マイクロソフトオフィス、アドビフラッシュプレーヤー、アドビアクロバットリーダーといったソフトを常に最新バージョンにする。パソコンに詳しくない人には難しいかもしれないが、下記のサイトにわかりやすい操作方法がまとめられている。
●ホームページからの感染を防ぐために(サイバークリーンセンター)

　サイバークリーンセンター（CCC）は、総務省と経済産業省が連携して運営している国のボット対策プロジェクト。ガンブラーやボットの感染を防ぐために、各種ソフトを最新バージョンにする方法を、上記のサイトで詳しくまとめている。このページの通りに設定すれば、ウェブサイトからのウイルス感染を防げるだろう。とても重要なのでプリントアウトして手元に置きたい。企業の担当者も必ず目を通そう。

　自分でレンタルサーバーを借りてブログなどを開設している人や、企業のウェブサイト担当者が注意すべきことが三つある。やや専門的な話になるが、どれも重要なことなのでチェックして欲しい。

１：ウェブサイトが置かれたサーバーのFTPは、必ずアクセス制限をかける
多くのサーバーでは、FTPにアクセス制限をかけられる。海外からのアクセスを排除するだけでも大きな効果があるので、必ずアクセス制限を設定すること。自分が使っているプロバイダーのIPを許可する、もしくは日本国内のIPアドレスだけ許可するなどの設定にしよう。

２：アクセス制限がかけられない場合は暗号化されたSFTPで
サーバー側でアクセス制限がかけられない場合は、ID・パスワードを暗号化してやりとりできるSFTP対応のFTPソフトを利用する。ガンブラーによってID・パスワードを盗み取られないようにするためだ。

３：改ざん被害を受けた場合は、徹底的対策を
改ざんされたら、まずやることはウェブサイトを一時的に閉めること。その上で感染源となったパソコンを徹底チェックする。ウイルス対策ソフトでは検知できない場合が多いので、不審なファイルがないかどうか慎重に確かめる必要がある。場合によってクリーンインストール、もしくは別のパソコンで更新するようにしたほうがいい。最後にFTPのID・パスワードを変更し、改ざん部分を直す。順番が逆になると、後で再び改ざんされてしまうので注意したい。


●参考情報
・ホームページからの感染を防ぐために(サイバークリーンセンター)
・ウェブサイト管理者へ:ウェブサイト改ざんに関する注意喚起、一般利用者へ:改ざんされたウェブサイトからのウイルス感染に関する注意喚起(IPA)
・ガンブラーウイルスが猛威…JR東サイトも改ざん:サイバー護身術