is702

2009/09/17

正規Web改ざんによるウイルス感染を防ぐには

正規のWebが改ざんされ、閲覧した人のパソコンがウイルスに感染してしまうという事件があとを絶ちません。

昨日まで普通に利用していたWebなので、利用者も「ウイルスに感染する」という意識が全くないことが多いものです。「怪しいサイトは見ない」といった心がけレベルの対策が通用しないのです。
また、Webサイト管理者側は、Web改ざんの被害者になると同時に、訪問者にウイルス感染させてしまう“加害者”になってしまいます。

攻撃の例(1) FTPサーバのアカウントを盗みWeb改ざん

Webサーバの管理に使われるFTPサーバのアカウント情報を盗みWebを改ざん、さらに別のFTPサーバのアカウントを盗む攻撃が確認されています。
2009年3月末に確認され5月頃まで被害の拡大が見られた、通称「Gumblar(ガンブラー)」と呼ばれる攻撃を例に、感染フローを見てみましょう。

1)Webが改ざんされる

公開中のWeb(A)が攻撃者によって改ざんされます。見た目にはわからない形でWebに不正なスクリプトを埋め込みます。Webの見た目には全く変わりがないため、見ただけではWebが改ざんされていることに気づきません。

2)アクセスした利用者が不正なWebへ誘導され、ウイルス感染

利用者が改ざんされたWeb(A)にアクセスします。すると、書き込まれた不正なスクリプトによって、不正なWeb(B)に誘導されます。そこから、自動的にダウンローダ型ウイルスが送り込まれます。このウイルスには、しばしばセキュリティホールを悪用するものが使用されています。利用者のパソコンにセキュリティホールがある場合、即ウイルスに感染する可能性が高くなります。
Web(B)は、Webページが開くわけではないので、見た目にはウイルスがダウンロードされていることがわかりません。

3)入り込んだウイルスが別のウイルスを引き込む

入り込んだダウンローダ型ウイルスは、別の不正なWeb(C)から、情報漏えいを行うウイルスをダウンロードします。その中には、Webサーバの管理に必要なFTPサーバのアカウントとパスワードを盗むものがあります。
攻撃者は、ここで取得したアカウントとパスワードを使って、さらに別のWebを改ざんします。
⇒ 1)に戻り攻撃が拡大します。

ウイルスの感染図

攻撃の例(2) Webシステムの脆弱性を狙ってWeb改ざん

こちらの記事を読んだ方におすすめの記事

恐怖のウイルスうっかり感染物語

  • セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
  • トレンドマイクロ is702 パートナープログラム
  • トレントマイクロ セキュリティブログ
セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
トレンドマイクロ is702 パートナープログラム
トレントマイクロ セキュリティブログ