PR

 セキュリティ企業のラックは2010年3月3日、新たな「ガンブラー」攻撃を確認したとして注意を呼びかけた。正規サイトのWebページにスクリプトを埋め込む代わりに、悪質な設定ファイル(.htaccess)をアップロードすることで、同サイトにアクセスしたユーザーを、ウイルスが置かれたサイトへ誘導する。

 ガンブラーとは、正規のWebサイトに細工を施すことで、そのサイトにアクセスしたユーザーを悪質サイトに誘導し、ウイルスを感染させようとする攻撃。特に、Webサイトの管理用パスワード(FTPパスワード)を盗むウイルスを感染させる攻撃を指すことが多い。そのようなウイルスを、ガンブラーあるいはガンブラーウイルスと呼ぶこともある。ウイルスを感染させてパスワードを盗むことで、別のWebサイトへの不正アクセスを可能にする。

 従来のガンブラーでは、正規サイトのWebページにスクリプト(JavaScript)を仕込み、アクセスしたユーザーを悪質サイトに誘導する。このためユーザーとしては、ブラウザーのスクリプト機能を無効にすることが、対策の一つとなる。例えば「Firefox」については、スクリプトの実行を制限するアドオン「NoScript」を利用すれば、被害に遭う危険性を軽減できるとされている。

 Webサイトの管理者については、Webページの中身をチェックして、覚えのないスクリプト(文字列)が含まれていないかどうかを調べることが、対策の一つとして推奨されている。

 しかしながら、今回ラックが報告した攻撃では、これらの対策は意味がないという。Webページを改ざんすることなく、悪質サイトに誘導するためだ。具体的には、攻撃者は悪質な「.htaccess」ファイルを正規サイトにアップロードして、ユーザーを悪質サイトに誘導する。

 同ファイルは、「Apache」などのWebサーバーの設定ファイル。今回確認された設定ファイルには、アクセスしたユーザーが特定の条件に合致する場合に、攻撃者が用意した悪質サイトにリダイレクトするルールが記載されていた(図)。

 まず、GoogleやYahooなどの検索サイトから、攻撃対象サイト(悪質な設定ファイルが置かれたサイト)にアクセスした場合、悪質サイトに誘導される。悪質サイトからはウイルスなどがダウンロードされるので、脆弱(ぜいじゃく)性のあるパソコンでは、アクセスしただけでウイルスに感染する。

 もう一つの条件は、「ファイルが見つからない」といったエラーが発生した場合。攻撃対象サイトで、存在しないファイルをユーザーが指定した場合や、ユーザー認証に失敗した場合などに、エラーメッセージが表示される代わりに悪質サイトに誘導される。

 特定の条件に合致するユーザーだけを誘導するので、ウイルス感染数は少なくなるが、「(攻撃対象となった)Webサイトに報告される可能性は小さくなるので、攻撃が発覚しにくくなるだろう」(ラック)。

 同社では、2010年3月1日に今回の攻撃を確認。攻撃対象サイトのログを調べたところ、2010年1月27日にはこの攻撃が発生していた可能性が高いとしている。

 Webサイトの管理者としては、Webページをチェックするだけでは不十分。身に覚えのない.htaccessファイルが存在しないかどうか、アップロードされていないかを確認することが重要だとしている。

 ユーザーとしては、スクリプトを無効にするだけでは攻撃を防げない。意図しないリダイレクトを制限するなどの対策が必要だとしている。例えば、Firefoxのアドオン「RequestPolicy」などを利用すれば、リダイレクト対策になるという。