株式会社ラックでは、Apacheの設定ファイルである「.htaccess」の不正アップロードを行うGumblarウイルスの活動を複数サイトにおいて確認しました。現在判明していることは次のような内容です。

【攻撃確認日】

• LACがこの攻撃を最初に認識したのは2010年3月1日です
• FTP転送のログから、少なくとも2010年1月上旬にはこの攻撃が発生していたと推測しています

【動作概要】

この.htaccessファイルが置かれる影響は、主要検索サイトからのアクセス、および404、403などのエラーがApacheのリダイレクト機能で攻撃サイトに転送されることです。攻撃サイトに転送された後、他のGumblar攻撃と同様に、悪性プログラムの感染被害に遭われることが推測されます。

【従来型Gumblarとの相違点】

従来のGumblar攻撃と異なる点は、次の2点が判明しています。

1. ユーザはJavaScriptの対策だけでは防げない

Firefox + NoScriptの組み合わせでは防げない可能性があり、RequestPolicyなどのリダイレクト対策が可能なアドオンを利用する必要があります。

2. コンテンツファイル監視だけでは気付くことができない

コンテンツファイル自体は改ざんされておらず、さらにブックマーク（お気に入り）やURL直接入力でサイトを表示した場合は影響を受けないため、Webサイト管理者が被害に気付きにくい。

【Webサーバ管理者の対策】

身に覚えのない.htaccessファイルが存在しないかを確認してください。FTP転送ログで.htaccessファイルがアップロードされていないかを確認するのも有効です。

確認されたログのサンプル

※現在のところ、トップディレクトリに単発でアップロードされていることを確認しています。

アップロードされる「.htaccess」ファイル

【本注意喚起に関するお問い合わせ先】
株式会社ラック　サイバー救急センター
電話：03-5537-0119 / E-Mail: p119@lac.co.jp

以上

さて、初の試み、第1回めの「川口洋のつぶやき」は...?!

2009年12月1日〜12月31日までのJSOCで検知したSQLインジェクション攻撃の検知数は、30,083件でした。

以下は2008年1月からの月別のSQLインジェクション攻撃検知数です。

以上

2009年11月19日【Gumblarおよびその亜種に関する大量の感染事例について】として、当社のセキュリティ監視センターJSOCから注意喚起を行いましたが、収束に向かう気配がありません。また、先日、JR東日本のWebサイト改ざんの報道に代表されるWebサイト改ざんは、このGumblarに感染したパソコンを通じて行われており、今後もますますの被害拡大が懸念されるため、注意喚起を行うこととしました。

組織内部のウイルス感染を放置することは、単に組織内部の情報が漏えいするだけではなく、被害が外部に対して顕在化してしまう恐れがあります。この顕在化とは、関係するWebサイトが改ざんされ、対策のために停止を行ったり、多くの利用者が感染の被害に遭われ、二次被害・三次被害と拡大していくことです。

一方、Webサイト改ざんでどの程度の事業インパクトがあるかは、その組織やWebサイトの性質により異なりますが、単に「もとに戻せば良い」程度の意識でいる組織が大半だと推測されます。実際には、利用者からの問い合わせや、苦情、被害の実態把握やその対策の告知、さらに個人情報漏えいの有無の調査や関連機関との連絡や調整など、その被害は広範囲に広がります。当然のことながら、被害拡大防止の観点からサイトは停止し、安全が確認されるまでは再開できないこととなるのが一般的です。

さらに、多くの組織でのウイルス対策は「ウイルスの駆除」という意識が高く、本来的な被害防止の観点で対策が立てられていない組織も多々存在します。そのため、駆除という「もぐらたたき作業」に没頭しているうちに、被害が顕在化してしまう危険性も高いと判断しています。

【各役割別、Gumblarへの対策ポイント】

※ 株式会社ラック並びに関係者は、この注意喚起による如何なる損害、損失、賠償などの責任を負いません。対策は自己の責任において実施ください。

システム管理者

• 自社のWebサイトの管理を行っているパソコンとその周辺のパソコンの安全性の確認
• Webサイト更新のプロセスを把握して、安全性の確認や、第三者による成りすましの排除（アクセス制御）
• 内部ネットワークにおける感染パソコンの把握（監視）と、被害拡大防止策の適用
• ウイルス駆除方法の確認とその適用
• 異変に気付いた際の対応方法の確認

 

Webサイト管理者

• Webサイトが改ざんされていないかのチェック
  記述した覚えの無いJavaScriptやiframeタグがないかチェックを推奨
• 更新ファイルの安全性確認
• 使用しているパソコンが感染していないかオンラインチェックの実施（インストールしているウイルス対策ソフトでのチェックに加えて実施）
• 利用者や外部の方からの問い合わせ時の対応方法の確認
• 異変に気付いた際の対応方法の確認

 

Web制作やシステム開発を行う業者

• 開発、更新、運用を行っているパソコンと対象Webサイトや契約内容の把握（ビジネスインパクトの把握）
• 使用しているパソコンが感染していないかオンラインチェックの実施（インストールしているウイルス対策ソフトでのチェックに加えて実施）
• クライアント（Webサイトオーナー）からの問い合わせ時の対応方法の確認
• 異変に気付いた際の対応方法の確認

 

ホスティング事業者

• 運用を行っているパソコンとお客様の数や契約内容の把握（ビジネスインパクトの把握）
• 使用しているパソコンが感染していないかオンラインチェックの実施（インストールしているウイルス対策ソフトでのチェックに加えて実施）
• 管理パソコンの使用制限（Webサイトの閲覧禁止）
• テナントからの問い合わせ時の対応方法の確認
• 異変に気付いた際の対応方法の確認

 

一般利用者

• FTPにて管理しているWebサイトがあるか、金銭に関係する情報（カードデータやユーザIDやパスワード）を取り扱っているかを把握
• 使用しているパソコンが感染していないかオンラインチェックの実施（インストールしているウイルス対策ソフトでのチェックに加えて実施）
• 使用しているWindowsや、Office製品、Adobe ReaderやAdobe FlashPlayerなどのコンテンツ閲覧・編集ソフトなどを最新の状態に保つ
  ※ 最新であるのかの確認は、MyJVNバージョンチェッカの活用（JVN）が有効的です
  http://jvndb.jvn.jp/apis/myjvn/#VCCHECK

【Gumblarとは】

※基本的な挙動に関しては2009年11月の注意喚起より変化はありません。攻撃コードが置かれた悪性サイトにアクセスしたユーザに攻撃を行います。アクセスしたパソコンで利用しているソフトウェアが最新でない場合、感染する可能性があります。

感染後には以下のような挙動を行います。

特に最近はウイルス対策ソフトを導入済みのお客様での被害が目立っています。また、IDS/IPSにも検知されないように通信の難読化が施されており、感染原因となった通信を検知していません。攻撃者は一般的なセキュリティ対策を回避できることを確認して攻撃している可能性が高いことを示しています。残念ながら既存のセキュリティ技術（ウイルス対策ソフト、IDS/IPS、FireWallなど）による予防的対策ではウイルスの侵入を防御できておらず、予防策だけではなく事後策を必ず検討する必要があります。

【Webサイト改ざんによる被害】

※基本的な挙動に関しては2009年11月の注意喚起より変化はありません。企業の顔であるWebサイトが改ざんされた場合、以下のような影響がありますので注意してください。

• Webサイト利用者からの問い合わせ
• 検索エンジンの検索結果に「危険サイト」である指定
• アフィリエイトやポータルサイトからのリンク切断
• メディアの問い合わせ、報道
• 株価への影響

【JSOC顧客全体におけるGumblarの被害状況】

JSOCのお客様全体のうちGumblar感染通信を確認した割合：10%
※注意※Webサイトが改ざんされた被害の割合ではありません。

【Gumblarを含むウイルス対策の考え方】

パソコンに導入されているソフトウェアが全て最新のバージョンであれば被害を受けません。大きな組織において全てのパソコンのソフトウェアを最新の状態に保つことが難しい場合には、感染を予防する対策と共に感染した後の対策を必ず検討してください。

パソコンでの予防策

パソコンに導入しているソフトウェアを最新の状態にしてください。利用しているソフトウェア製品のバージョン確認のためには「MyJVNバージョンチェッカ」で確認することも可能です。

 

Gumblarの通信先IPアドレス一覧（2009年12月25日9時 時点）

JSOCで確認しているインシデントの99%は以下のIPアドレスに対して通信が行われています。今後も通信先のIPアドレスは変化する可能性がありますが、現時点では以下のIPアドレス宛の通信をファイアウォールやProxyで遮断することで根本対策を講じるまでの間の被害を軽減することが可能です。

感染した際にアクセスする送信先のIPアドレス：
67.212.81.67
67.215.237.98
67.215.238.194
67.215.246.34
91.215.156.74
91.215.156.75
91.215.156.76
94.76.250.73
94.229.65.174
193.104.12.20
195.24.76.250
210.51.166.228
216.45.48.66

 

FTPサーバでの予防策

Webサイトの開発者やお客様システムの開発をしている事業者は以下の点を確認してください。

• 開発用、コンテンツ更新用パソコンの感染状況を確認（上記IPアドレスへの通信の状況確認とオンラインスキャンの実行）
• 使用しているソフトウェアが最新の状態であるかを確認
• FTPサーバのログイン履歴に普段利用しないIPアドレスからのログインがないかを確認
• Webサイトのコンテンツに不審な文字列が追加されていないかを確認

 

Gumblarに感染したパソコンの対策

• 感染パソコンを隔離し、OSごと再インストール
• 再インストールが難しい場合は、最低限FTPサービスへアクセスできるアカウントの変更とアクセス制御を行う

 

改ざんされたWebサイトでの対策

• Webサイトを閲覧したユーザの調査およびユーザに対する注意喚起
• 該当のサーバにおける情報漏えいの可能性の調査
• 被害範囲を確認できるまではFTPサービスの利用を制限
• 改ざんされたコンテンツの確認と回復
• 悪用されたアカウントのID/パスワードを変更
• FTPサービスを利用できるIPアドレスを必要なものにのみ制限
• 他の管理サイトの被害の有無を確認

【Gumblarの亜種の可能性】

Gumblarに感染したパソコンは攻撃者によって自由にアップデート可能です。 今後以下のような機能が実装される可能性があります。

• 内部ネットワークのパソコンへの感染機能
• FTP以外のアカウント情報の漏えい（技術的にはウェブメールやクラウドサービスのアカウントを取得するように改造することも可能です。）
• Gumblar感染パソコンを経由した内部からのWebサイト改ざん（FTPサーバでのアクセス制御の効果がなくなります。）

【本注意喚起に関するお問い合わせ先】
株式会社ラック　サイバー救急センター
電話：03-5537-0119 / E-Mail: p119@lac.co.jp

以上