セキュリティコラム

最近の記事

• 止まらない情報漏えい「紛失」
• 止まらない情報漏えい「標的型メール攻撃」
• 内部不正はなぜ起こるか？
• モバイルパソコンの暗号化
• いざという時

• コラム

バックナンバー

選択してください 2015年7月 2014年9月 2012年9月 2012年5月 2012年3月 2011年11月 2011年9月 2011年7月 2011年6月 2011年4月 2011年3月 2011年2月 2011年1月 2010年12月 2010年11月 2010年10月 2010年9月 2010年6月 2010年3月 2010年2月 2009年12月 2009年11月 2009年10月 2009年9月 2009年8月 2009年7月 2009年6月 2009年5月

今回も2ヶ月以上経ってしまった。時間が過ぎるのは早い。
さて、前回は「ガンブラーの概要」について説明した。今回から「ガブられた詳細」について紹介していく。

当社のホームページがガブられたのは2010年1月14日である。ちょうどこの頃、テレビのニュース番組でもガンブラーについて注意を喚起する報道がよくされていたように記憶している。

今回ガブられたページは、当社のホームページのうち外部のレンタルサーバを利用している部分であった。もちろん、このページには一般的なセキュリティ対策を講じており、パスワードの管理、脆弱性のチェック、ウィルス対策などを行っていたが、結果としてガブられてしまった。

では、実際に何が起こったかご紹介していこう。

悪意のあるスクリプトなのですべてをお見せするわけにはいかないが、これが実際にホームページに追加されていたスクリプトの一部である。

正常なhtmlのソースの最後に追加されていたもので、一見しただけでは分からないように無意味な文字列が多く挿入されているが、このスクリプトはある特定のサーバにアクセスし、ファイルをダウンロードするように書かれている。

この特定のサーバこそが攻撃者があらかじめ用意した悪意のあるサイトであり、ダウンロードするファイルが悪意のあるプログラム（いわゆるマルウェア）であった場合、

• ウィルスに感染する
• バックドアを開けられる
• スパイウェアを埋め込まれる
• ID・パスワードを暴露される

などの被害を受けるということになる。

もちろん、一連の動作はバックグランドで行われ利用者が気がつくことはまずない。
『そんなことはない。よく見ていれば気がつくはず！』と思われるかもしれないが、本当に全く気がつかないのである。実際、筆者も全く気がつかなかった・・・・・。

今回の場合、われわれは、ガブられたことを一般のホームページ閲覧者からの指摘によって知った。この閲覧者が当社のホームページを閲覧したところ、自身のPCにインストールしてあるウィルス検知プログラムからアラートが上がったとのことであった。

ところが当社の社員が当該ページを閲覧してもアラートは上がってこない。

もちろん当社でもウィルス検知ソフトウェアは導入済みであり、パターンファイルはオンラインで自動的にアップデートしているが、当社が使用しているウィルス検知プログラムは、この閲覧者が使用しているのとは違うベンダーのものであった。

ウィルス検知プログラムのパターンファイルはベンダーが作成し配布しているので、検知できるウィルスもベンダーによって多少は異なる。

今回の場合、当社で利用しているウィルス検知プログラムがガンブラーのスクリプトに対応するのが少し遅れたため、外部の閲覧者からの通知で初めて気がついたという事態になったのである。

ちなみに、ウィルス検知プログラムというとウィルスだけを発見するようなイメージがあるが、ガンブラーのような悪意のあるスクリプトも検知してくれる。

当社では、今後同様の事態に陥らないようWeb改ざん検知システムを導入し、意図しないWebページの更新があった場合にはアラートを発報する仕組みを構築した。

今回はここまで。次回は『誰が、いつ』ガンブラーのスクリプトを当社のホームページに追加したかについてご紹介する。

Tweet