2010年10月18日 [ コラム ]

ガブられた!(3)

ガンブラーの話題も3回目である。
これまでの経緯は今までのコラム(※)を参考していただくとして、今回は『いつ、誰が』書き換えたかをご紹介する。
(※)「ガブられた!」~ガンブラーの概要~
   「ガブられた!(2)」~ガンブラー攻撃の実際~

今回ガブられたページは外部のレンタルサーバであったが、当社ホームページのHTMLにスクリプトが追加されていたということは、何らかの方法でサーバにログインしていることが考えられる。

このような場合、FTPを使ってHTMLファイルを置きにくることが一般的であるため、レンタルサーバの運営会社にFTPによるサーバのログイン履歴を取り寄せたところ、結果は次のとおりであった。

blog15_01.gif

履歴を見て唖然とした。
もちろんこれらのIPアドレスは当社とはまったく関係なく、未知のものである。
あまりにも件数が多いので次のように整理してみた。

blog15_02w.gif blog15_03w.gif

なんと、1時間半の間に44種類のIPアドレスから延べ650回のログインがあった。不気味である。
状況から考えれば、少数の人間が手作業でアクセスしてきているとは考えにくい。
そこには何らかのロジックが組まれていて、自動的に攻撃をする仕組みが出来上がっていたと考えるのが自然である。

恐らく、FTPのユーザIDとパスワードを何らかの方法で盗み取り、サーバへのログインを繰り返し、ガンブラーのスクリプトを正規のHTMLに追加したのである。
そして、作業が完了するとアクセスはピタリと無くなり、あとは獲物がかかるのを待つだけ、といったところだろうか。

お分かりのように、根本的な原因は「FTPのパスワードを盗まれた」ことにある。
では、FTPのパスワードはどうやって盗まれたのか?

  • FTPを利用してホームページの管理をしているパソコンがすでにマルウェアに感染していて、そのマルウェアがパスワードを盗んでインターネット上に漏えいしてしまう。
  • 通信途中でIDやパスワードを盗聴する。
  • Webサーバそのものがすでにマルウェアに感染している。

等、さまざまな原因が考えられるが、今回の場合は残念ながら原因を特定することはできなかった。

このように、悪意を持った攻撃は組織的に行われる。そして、それはグローバルに編成されていて『誰が』攻撃してきたかを特定することはほとんど不可能であり、さらにこれらの攻撃は日々進化しているため、防御の仕組みとはいたちごっこになっているのが現状である。
したがって、外部からの攻撃を100%完全に防御できる仕組みをインターネット上に構築するのはほとんど不可能であると思うし、仮に実行できたとしてもコストが膨大になるであろう。
そう考えると、一通り防御策を施した上で、万が一攻撃をされても素早く発見・処理できる仕組みを構築したほうが現実的であるということになる。

次回は、当社が施した対策についてご紹介する。


セキュリティコラム

お問い合わせ

ホワイトペーパー

ページトップへ