2010年9月 2日 [ コラム ]
ガブられた!(2)
今回も2ヶ月以上経ってしまった。時間が過ぎるのは早い。
さて、前回は「ガンブラーの概要」について説明した。今回から「ガブられた詳細」について紹介していく。
当社のホームページがガブられたのは2010年1月14日である。ちょうどこの頃、テレビのニュース番組でもガンブラーについて注意を喚起する報道がよくされていたように記憶している。
今回ガブられたページは、当社のホームページのうち外部のレンタルサーバを利用している部分であった。もちろん、このページには一般的なセキュリティ対策を講じており、パスワードの管理、脆弱性のチェック、ウィルス対策などを行っていたが、結果としてガブられてしまった。
では、実際に何が起こったかご紹介していこう。
悪意のあるスクリプトなのですべてをお見せするわけにはいかないが、これが実際にホームページに追加されていたスクリプトの一部である。
正常なhtmlのソースの最後に追加されていたもので、一見しただけでは分からないように無意味な文字列が多く挿入されているが、このスクリプトはある特定のサーバにアクセスし、ファイルをダウンロードするように書かれている。
この特定のサーバこそが攻撃者があらかじめ用意した悪意のあるサイトであり、ダウンロードするファイルが悪意のあるプログラム(いわゆるマルウェア)であった場合、
- ウィルスに感染する
- バックドアを開けられる
- スパイウェアを埋め込まれる
- ID・パスワードを暴露される
などの被害を受けるということになる。
もちろん、一連の動作はバックグランドで行われ利用者が気がつくことはまずない。
『そんなことはない。よく見ていれば気がつくはず!』と思われるかもしれないが、本当に全く気がつかないのである。実際、筆者も全く気がつかなかった・・・・・。
今回の場合、われわれは、ガブられたことを一般のホームページ閲覧者からの指摘によって知った。この閲覧者が当社のホームページを閲覧したところ、自身のPCにインストールしてあるウィルス検知プログラムからアラートが上がったとのことであった。
ところが当社の社員が当該ページを閲覧してもアラートは上がってこない。
もちろん当社でもウィルス検知ソフトウェアは導入済みであり、パターンファイルはオンラインで自動的にアップデートしているが、当社が使用しているウィルス検知プログラムは、この閲覧者が使用しているのとは違うベンダーのものであった。
ウィルス検知プログラムのパターンファイルはベンダーが作成し配布しているので、検知できるウィルスもベンダーによって多少は異なる。
今回の場合、当社で利用しているウィルス検知プログラムがガンブラーのスクリプトに対応するのが少し遅れたため、外部の閲覧者からの通知で初めて気がついたという事態になったのである。
ちなみに、ウィルス検知プログラムというとウィルスだけを発見するようなイメージがあるが、ガンブラーのような悪意のあるスクリプトも検知してくれる。
当社では、今後同様の事態に陥らないようWeb改ざん検知システムを導入し、意図しないWebページの更新があった場合にはアラートを発報する仕組みを構築した。
今回はここまで。次回は『誰が、いつ』ガンブラーのスクリプトを当社のホームページに追加したかについてご紹介する。
Tweet