最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆「ガンブラー攻撃」対象ソフトをJPCERTが確認(1)(2010/02/04) | メイン | ◆マイクロソフト、2月の修正パッチ公開/IEの脆弱性にアドバイザリ(2010/2/5) »

2010/02/05

◆「ガンブラー攻撃」対象ソフトをJPCERTが確認(2)サイト管理者の注意点(2010/02/05)

 JPCERT/CCは、一連のサイト改ざんでFTPのアカウント情報が直接盗み取られるFTPソフトを確認・公表した(前掲記事参照)。では、FTPソフトを使うサイト管理者は何に気をつければいいのか。JPCERT/CCは「対策」として、管理者が使うすべてのソフトウエアを最新の状態にして脆弱性をなくすことをあげている。FTPのアカウント情報を盗み取るウイルスに感染することを防ぐには、たしかにそれが基本中の基本で、最も有効な対策になる。ここではその基本に加え、サイト管理者が留意すべきことをあげたい。

■FTPのアカウント情報が攻撃者の手に渡ると何が起きる?
 JPCERT/CCが今回公表したFTPソフトでアカウント情報を保存している場合、そのパソコンがウイルスに感染すると、保存されているアカウント情報が直接、攻撃者の手に渡ってしまう。いま運営中のサイトが再改ざんされるだけでなく、以前に運営していたサイトの跡地や、かつて運営や制作を請負ったサイトなども、保存されていたアカウント情報が有効なままであれば、改ざん対象にされてしまう。実際、そうして改ざん被害にあったと見られるサイトがいくつかある。

■盗んだアカウント情報で改ざんされたとみられるサイト例
・引越し後の旧サイトが改ざん
 新サイトのリンクを入れたトップページだけ残し、新サイトに引越し。その後、管理者のパソコンがウイルス感染してアカウント情報が盗まれ、トップページだけの旧サイトが改ざん。管理者は気付かず放置されたまま。

・放置サイトの改ざん
 上記のように引越し後なのか、これから作ろうとしているのか、志半ばで諦めたのか不明ながら、サイトの体裁を全く成していないサイトが改ざんされている。管理者は忘れたまま放置し続ける可能性が高い。

・テストサイトも改ざん
 制作中のテストサイトなのか、納品前のデモとして使用したのか、一目見てテストサイトとわかるサイトが改ざんされたまま放置。社名ロゴ付き(本体は別所ですでに運営中)のまま放置されている例も。

・制作会社のパソコン感染の巻き添え
 ホームページ制作会社のパソコンが感染し、過去に受注した会社のサイトがその巻き添えで改ざんされたとみられる例も。制作会社も発注側も、制作当時のアカウント情報がそのまま変更されずパソコンに残っていたとみられる。

・広告用のサイトが全滅
 更新をしない広告だけのサイトが改ざんされている。管理者のパソコンが感染し、管理下の広告サイトが全滅している例も。

■サイト管理者が気をつけたいこと

 FTPソフトを使うサイト管理者のパソコンが感染すると、上記のように更新していないサイトや忘れて放置しているサイトも、それらのアカウント情報が感染パソコンに保存されていて有効ならば、ウイルス感染により盗み取られ、改ざんされしまう。また、自分のパソコンが感染していなくても、ホームページ制作を依頼した会社のパソコンが感染すれば、巻き添えで改ざんされてしまうこともある。これらから教訓として言えることは。

 ・サイトの制作や更新を外注し、その後サイトのパスワードを変更していなかったら、直ちに変更する。
 ・ウイルス感染、フィッシング、不正アクセスに遭遇するなど、不審な形跡があったらすぐにパスワードを変更する。
 ・改ざん対象は現行サイトだけではないので、過去に管理していたサイトにも注意を。

 パスワードに関しては、「類推しにくい頑丈なパスワードを付ける」「パスワードを他の人に知られた可能性がある場合は、すぐ変更する」「共有しているアカウントは定期的に変更し、誰かが抜けた場合も変更する」など、十分な注意が必要だ。サイト更新用のパソコンを限定し、他の用途には使わないようにすることも、ウイルス感染のリスクを小さくする意味で有効だ。

■「感染予防」が基本かつ最も有効な対策

 管理者もまた一般ユーザーも、パソコンをウイルスに感染させないことが最も有効な対策となるので、本通信で繰り返しお勧めしている基本の6項目を、ぜひ実行していただきたい。

 (1)Microsoft Update(Windows Update)を実行しシステムを最新の状態にする
 (2)Adobe Readerを最新版に更新する
 (3) Adobe ReaderのAcrobat JavaScriptを無効に設定
 (4) JRE(Java Runtime Environment)を最新版に更新する
 (5) Flash Playerを最新版に更新する
 (6) QuickTimeを最新版に更新する

 (1)~(4)を行っていれば、現時点で改ざんサイトを閲覧してもウイルスには感染しない。攻撃コードは変化する可能性もあるので、念のため全て行っていただきたい。
 Adobe Readerなどのアップデート方法については下記の「セキュリティ通信トピックス」を参照されたい。
 Acrobat JavaScriptを無効にする方法は以下の通り。

 (1)Adobe Readerを起動し[編集]メニューの[環境設定]を選択
 (2)「分類」の中の「JavaScript」を選択
 (3)「Acrobat JavaScriptを使用」のチェックをクリア
 (4)「OK」ボタンを押す

■サイト管理者の方へ(改ざんの見つけ方と見つけ場合の対処)
 サイトを運営している方は、上記に加えて以下の実行をお願いしたい。

<改ざんの見つけ方>
 サイトに意味不明の文字列が入った見知らぬスクリプトが埋め込まれていないか確認する。
 現行のガンブラー攻撃(8080系)の場合、挿入個所はファイルの末尾や先頭が大半だ。scriptタグ(<script>)で始まり、「document.write」や「try{ window.onload」で、意味不明な文字列が並んでいる。少し前の攻撃では、scriptタグの直後に「/*GNU GPL*/」「/*CODE1*/」「/*LGPL*/」「/*Exception*/」といったマークが付いていた。
 現行のガンブラー攻撃(8080系)の場合は、インデックスページとして使われる可能性のあるファイル(ファイル名にindexまたはmainなどが含まれる)と、javaScriptファイル(.js)を狙って改ざんするので、とくに重点的にチェックしていただきたい。
 ログイン履歴のとれるサーバーなら、自分以外が更新に来てないかどうか、こまめにチェックすることもお勧めしたい。

<見つかった場合>
 改ざんやウイルス感染が見つかった場合には、必ず「ウイルスに感染していないパソコンを使用」して、サイト更新に使用するFTPのパスワードを変更していただきたい。

(2010/02/05 ネットセキュリティニュース)

投稿情報: 10:11 |

|