最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆アドビ製品とFirefoxに未修整の脆弱性~コード実行のおそれ(2010/02/23) | メイン | ◆サイト改ざん猛威:ウイルス感染を100%防げる「ソフトウェアの更新」を(2010/02/25) »

2010/02/25

◆サイト改ざん猛威:「8080」がコード変更、「Gumblar.x」も攻撃再開(2010/02/25)

   大手サイトの改ざんがおおむね沈静化し、メディアでの露出度がめっきり減った「ガンブラー」だが、そんな表向きの情勢とは裏腹に、ネット上では相変わらずの改ざん/再改ざんが繰り広げられている。

 12月から国内のWebサイトを荒らしまわっている「8080」系に加え、今月は年末に消息を絶った「Gumblar.x」も攻撃を再開。これら2大勢力に加え、中国方面に連れ去られる埋め込みから正体不明の埋め込みまでが入り混ざり、サイト改ざん劇は当分終わりそうにない。

■繰り返される改ざん/再改ざん

 改ざんサイトに埋め込まれる誘導コードは、ウイルス対策ソフトなどからの検出を逃れるために、こまめなアップデートが行われている。そしてその度ごとに、修正されたはずのサイトが再び改ざんされるという悲劇も繰り返されている。サイトの改ざんに気付いて修復していても、ちゃんとした対策が行われていなかったからだ。

 サイトの改ざんには、ウイルスに感染したパソコンから盗み取られたサイト更新用のFTPパスワードが使われている。攻撃者が用意したサイト改ざん用のプログラムが、管理者になりすましてサイトに侵入し、誘導コードを埋め込んでいるのだ。これでは、改ざん箇所をいくら修正しても、再改ざんの手から逃れることはできない。

 改ざん被害にあった方は、サイトを修復するだけでなく、ウイルスに感染したパソコンのクリーンアップ(OSの再インストールを推奨)と、ウイルスに感染していないパソコンを使用してのサイトのパスワード変更も合わせて実施していただきたい。特に複数の管理者が共同で更新しているようなサイトでは、1台でも感染パソコンが混ざっていると、そこからまたパスワードを盗まれてしまう。感染パソコンは、完全に排除しなければいけない。

■再改ざんの周期は?

 8080の改ざんページは「埋め込みコードが変わるたびに」、Gumblar.xの改ざんページの方は「非常に短いターンで」、改ざんサイトに埋め込んだコードの差し替えを行っている。

<8080>
 「Pegel」「Illredir」「Redirector」「JSRedir」「Iframe」などのウイルス名で検出される8080の改ざんページは、ウイルス対策ソフトの検出を逃れるために、これまでに何度も埋め込みコードが変更されて来た。コードの変更時には、改ざん済みのサイトに対してのコードの差し替えも実施しており、埋め込みコードが変わるたびに多数の修復サイトが再び陥落している。
 今月の主なコード変更は、5日頃から無意味なコードを大量に挿入したスクリプトに。17日頃から文字列の文字順を入れ替える関数を実装したかなり長いスクリプトに変化。23日からは、難読化するために挿入した不要な文字を削除する、文字の置換部分を函数化した短いスクリプト(16日頃に一部で埋め込まれたタイプに酷似)に変わっており、またまた再改ざんサイトが続出。対策済みと思っている方も、今一度サイトのチェックと対策漏れの確認をしてみてはいかがだろうか。
 8080の改ざん対象は、インデックスページに使われることの多い「index」や「main」「default」などをファイル名に含むHTMLやPHPファイルと、全てのJavaScriptファイル(.js)。ファイルの先頭や末尾に、意味不明の文字列が並ぶスクリプトが挿入されていないかどうか、確認していたただきたい。

<Gumblar.x>
 Gumblar.xの場合には、一般のWebサイトを攻撃サイトに使用している関係もあってか、1日から数日程度の短いターンで頻繁に書き換えが行われている。改ざんロボットが二度ログインできないよう、ちゃんと対策しておかないと、それこそ修正/再改ざんの無間地獄になってしまう。
 改ざん対象のファイルは8080と同様だが、ファイル名は限定されておらず、手当たり次第に挿入される。HTMLファイルの場合には、末尾ではなくbodyタグの直前に挿入されるが特徴だ。
 8080のような難読化は行われておらず、挿入されるのはごく普通のscriptタグ(JSファイルの場合はscriptタグを挿入するdocument.writeが末尾に)。ロードするのは、一般のWebサイトに置かれたPHPファイルだ。一般サイトが攻撃サイトに使われているため、埋め込まれるURLのバリエーションは同じものを見つけるのが困難なほど多く、一見では改ざんされたものなのか正規のものなのかも区別しにくい。その辺の事情はウイルス対策ソフトにとっても同じらしく、改ざんページはほとんど見逃されてしまう。Gumblar.xの場合には、誘導先からロードするJavaScript以降からの検出がメインのようで、たとえばGumblar.xという名も、この攻撃用のJavaScriptの検出名(カスペルスキー名)だったりする。
 PHPが利用できるサイトの場合には、Gumblar.xの攻撃サイトに悪用されている可能性もある。サイトに不審なPHPファイルが置かれていないかどうかも、合わせてチェックしていただきたい。攻撃コードを格納するフォルダやファイル名は不定だ。

(2010/02/25 ネットセキュリティニュース)

投稿情報: 15:17 |

|