2010年11月 9日 [ コラム ]
ガブられた!(4)
さて、ガンブラーの話も最終回。今回は当社で施した対策をご紹介していく。
前回までのコラムのとおり、ガンブラー攻撃を受ける根本的な原因は、Webサーバ内のHTMLを書き換えることのできるアカウント情報(ID・パスワード)を盗まれることである。
つまり、ガンブラー攻撃への対策は、アカウント情報を盗まれないようにすることが重要となるが、盗まれることのない100%完璧な対策を行うことは非常に難しい。何故なら、どこから盗まれたのかが特定できないからである。
まず、Webサーバのアカウント情報を盗まれないようにするために行うべきことは『まめにパスワードを変更する』ことだが、これだけでは不安である。
そこで次に考えられるのが、『WebサーバにアクセスできるクライアントのIPアドレスを限定する』ことである。指定されたIPアドレスからのみログインを許可するというものだが、これもIPアドレスも詐称することができるのでやはり十分な対策とはいえない。
そこで当社は、改ざん検知システムを導入して当社が管理するWebページを監視することにした。このシステムはWebページが書き換えられるとアラートが出る仕組みになっており、万が一アカウント情報が盗まれても事態をすぐ把握し、その後の対応を迅速に行うことが可能となるのだ。
以上が、Webサーバがガンブラー型攻撃を受けた場合、あるいは攻撃を受けないようにするために考えられる対策である。
一方、ガンブラー型攻撃によって被害を受けるのはWebサーバだけに限らない。ガンブラー型攻撃を受け改ざんされたWebページを閲覧したPCも被害を受ける可能性がある。
(詳しくは「ガブられた!」~ガンブラーの概要~を参照頂きたい。)
もちろん、PC のWindowsアップデート、ウィルスチェックプログラムの更新、各種アプリケーションの脆弱性修正プログラムの実行など、様々なセキュリティ対策を完璧に行っていればマルウェアが送り込まれる可能性は低くなるが、完全に防げるとまでは言い切れない。
最近のマルウェアはより高機能になっていると言われており、バックドアを開けて自ら消えてしまうウィルスや、普段は見つけにくいところに潜んでいて、ある日突然動き出すボットなど、その振る舞いは複雑になってきている。
そのため、一旦マルウェアに侵入されてしまうと、当該PCの徹底的なウィルスチェックが必須になるのはもちろん、最悪の場合はWindowsの再インストールなどの処置も必要となる。
さらに悩ましいのは、マルウェアが送り込まれた可能性のあるPCを特定することが非常に困難であるということだ。
マルウェアが送り込まれたPCを特定する方法のひとつとして、通信を記録することが挙げられる。PCが外部と通信した記録を保存しておけば、マルウェアがインターネット経由で送りこまれた記録を確認することが可能となり、送り込まれたPCの特定も即座にできるようになる。
ただし、ここで注意しなければならないのは、どのようにして膨大な通信の中から該当する通信履歴(対象PC)を探し出すのか、その方法を解決しておかなくてはいけない。
手前みそではあるが、当社が開発・販売を行っているネットワークフォレンジックサーバ『NetEvidence』は、高速検索機能により膨大な通信履歴の中からピンポイントで特定の通信を探し当てることができる。
今回のガンブラー感染においても、感染したサイトを閲覧した当社内のPCにマルウェアが送り込まれたかどうかを調べるために『NetEvidence』を用いて、記録されたログを細かくチェックしたが、・・・結果は『白』であった。ぎりぎりセーフ。
『NetEvidence』の検証により浮かび上がってきた事実は、ガンブラーサイトに誘導されファイルを取りにはいったが、実際のファイルの転送は行われなかったということ。つまり、Webページの改ざんはあったが、その後の被害は発生していなかったため、Windowsの再インストールやマルウェアの探索は行わずに済んだのだ。
このように、『NetEvidence』でログを取ることにより事実を立証することができ、さらに今後現れてくるであろう未知の攻撃にも対処できるというわけだ。
以上、4回にわたってガンブラー型攻撃についてご紹介してきたが、この話題は今回で一旦クローズとする。
次回のテーマは『最近の情報漏えい事件について思うこと・・・』である。