この記事をtweetする このエントリーをはてなブックマークに追加

また失敗したの?と言われる前に セキュリティ登龍門50

Webが牙をむいた2010年

2011/01/04


 昨年もセキュリティを脅かす事件やインシデントが続いた。その特徴は「Webからの攻撃」が一昨年よりも巧妙に、幅広く行われるようになったことだ。猛威をふるったGumblar攻撃はもちろん、「偽セキュリティ対策ソフト」によるPCを使用不能にする攻撃や、悪質サイトに誘導してスパイウェア等の感染を拡大する攻撃など、多くの攻撃がWebを介して行われるようになった。そのほかにも一昨年と同じタイプの攻撃が手を替え品を替え行われてきた。今回は、昨年の特徴的な攻撃を振り返り、特に今年は気をつけたいポイントとその対策を2回連載で紹介する。第1回は、企業サイトが勝手に攻撃の踏み台にされたケースファイルをカギに、主な攻撃の手口について説明していく。

Webからの脅威

#024

自社サイトが知らぬ間に不正サイトへの踏み台にされた!

 「偽セキュリティ対策ソフトの被害に遭ったが、その原因はあなたの会社のWebページだ!」。多くの閲覧者をもつWebサイトを運営しているA社は、Webページを利用している顧客からの指摘に驚いた。さっそくWeb制作部門で事実調査をしたが、自社で用意しているコンテンツには何も問題がない。外部の広告業者から配信されている広告についても1つひとつ調査したが、そこにも異常は見つからなかった。
 ところが被害についてのクレームは止まるどころかますます増えていた。調査担当者は首をひねりながら同じ調査を何度も行った。
 「あった!」。やがて見つけたのはある広告配信用タグの中にあった1x1ピクセルの“iframeタグ”だ。このタグに不正サイトの短縮URLが書き込まれていた。しかもこの短縮URLのサイトはまた別のサイトへの誘導を行うように仕込まれており、誘導先のサイトでは、時間帯によって正常なコンテンツと攻撃用のコンテンツが入れ替わるようになっていた。それでなかなか問題箇所が見つからなかったのだ。
 その短縮URLが不正サイトへの入口になっている間に、A社のWebページの閲覧者が、気がつかないまま不正サイトに接続され、「偽セキュリティ対策ソフト」というタイプのウイルスを送り込まれていた。サイト閲覧者のPCにあるソフトウェアの脆弱性が悪用され、このウイルスに感染させられていたのだ。A社は即刻、その広告表示を削除した。
 やがて、当該の広告配信業者から緊急連絡が入った。配信した広告の内容が改ざんされていて、不正サイトへの接続が可能になっているとのことだった。配信業者は事前にウイルスに感染してしまい、配信用のコンテンツを改ざんされていたのだが、それには気がついていなかったということだ。
 この攻撃によって被害を受けたのは、A社のサイトを閲覧した人だけではなかった。広告配信業者は他のさまざまな有名サイトに同じ広告を配信しており、どのサイトでも同じ被害を引き起こしていた。後日、広告配信業者は広告が改ざんされていた時間帯での最大閲覧者数を発表した。それは68万人にのぼっていた。

(ケースファイルは実際の事例をベースにキーマンズネットが作成)




1

誰も気づかないうちに被害を広げるWebからの脅威

 ケースファイルは、自社のWebサイトには何の落ち度もないのに、外部から配信されるコンテンツが原因で自社サイト閲覧者が被害に遭ってしまうという事例だ。このケースは企業システムにとってのWeb利用の怖さを示す典型例と言え、同時に昨年流行した攻撃の特徴を表す代表的な例でもある。ケースファイルのベースとなった実例では、セキュリティ対策を十分にとっていると思われていた著名なニュースサイトや情報提供サイトが複数被害にあった。この事件は、外部から配信されるコンテンツを組み込んだWebサイトをもつすべての企業・組織に大きな衝撃を与えた。
 以前にもアクセス解析サービス会社から送られてくる外部スクリプトファイルに悪意あるスクリプトが混入されていたケースがあった。こちらの場合もやはり悪質サイトに接続されてスパイウェアを仕込まれるというものだった。こうした攻撃は、外部から配信されるコンテンツを自社のWebページに組み込んでいるかぎり、いつ発生するかわからない。また発生していても、自社サイトを常時監視・検査していなければ、閲覧者の側からの被害報告がないかぎり、社内では誰も気がつかない事態も起こりうる。
 こうした方法で、知らぬ間に自社システムが未知のスパイウェアに感染しているかもしれないし、社内情報が少しずつ流出しているかもしれない。そんな気味の悪さを感じさせる事件が昨年は目立った。

1-1

元凶はドライブ・バイ・ダウンロード

 こうしたWebからの攻撃は、いくつかの攻撃を組み合わせて行われるのが普通だ。ケースファイルの例なら、まずは広告配信サービスのシステムに、配信コンテンツを改ざんするためのウイルスが仕込まれたことが推測できる。改ざんされたコンテンツには 外部サイトへのリンクが含まれていたが、そのサイトはさらに別のサイトへの誘導をするものだった。しかしその誘導先のサイトは通常は特に 危険のない正常なコンテンツばかりだった。時間帯により、コンテンツが置き換わり、ある限られた時間帯だけに攻撃サイトに変わっていたのである。これにより、配信コンテンツが不正なリンクを含むかどうかの検査が簡単にはできないようになり、攻撃者を特定することも難しくなっていた。
 そのような状態のコンテンツが配信先であるさまざまなWebサイトに送られた。配信先で内容がチェックされたとしても、たいていの時間帯では無害なサイトに誘導されるだけなので気がつかれる可能性が少ない。そして誘導された先が攻撃用のコンテンツに変更されたとき、たまたま配信先のWebサイトのページを見ていた人が攻撃されてしまう。
 誘導されるといっても、ブラウザで表示しているページ全体が遷移するのではない。見た目では何も変化が起こらないが、裏で不正サイトへの接続が行われる。不正サイトには不正コードが仕込んであり、ページに接続した先にウイルスを強制的に送り込む。そのとき保存のためのダイアログが表示されることはないため、ダウンロードに気づくことさえない。
 この手口のうち、Webサイトの閲覧者が意図するかしないかに関わらず、ウイルスなどの不正プログラムをPCにダウンロードさせる部分を指して「ドライブ・バイ・ダウンロード」と言う。ドライブ・バイ・ダウンロード攻撃は閲覧者のPCにあるOSやアプリケーションの脆弱性を悪用することが多い。
 この手口そのものは新しいものではない。これまでにも偽セキュリティ対策ソフトの配布のためによく使われてきた。「図1」に見るようにメールのURLをクリックすると、不正サイトにジャンプするという手口(図1の手口1)でも使われてきたし、正規のWebサイトを改ざんし、悪意あるスクリプトを埋め込んで不正サイトに接続する手口(図1の手口2)も、Gumblar攻撃などでよく使われた。

図1 偽セキュリティ対策ソフト型ウイルスの感染手口のイメージ
図1 偽セキュリティ対策ソフト型ウイルスの感染手口のイメージ
提供:IPA

 ケースファイルの例はこの手口を発展させ、より感染力を強めたバリエーションと言えるだろう。具体的には「図2」のようなイメージだ。「正規のWebサイト」は、その「部品」(広告など)を外部の提供会社からの配信を受けて表示する。それを閲覧した「一般利用者」が不正なWebサイトに接続されてウイルス感染することになる。

図2 Webページを構成する部品の提供会社のサーバが改ざんされた例のイメージ
図2 Webページを構成する部品の提供会社のサーバが改ざんされた例のイメージ
提供:IPA

セキュリティ情報局にご登録頂いた方限定で「Webが牙をむいた2010年」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

Webからの脅威/Webが牙をむいた2010年」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「Webからの脅威」関連情報をランダムに表示しています。

Webからの脅威」関連の特集


 2009年「ユーキャン新語・流行語大賞」の年間大賞に選ばれたのは、「政権交代」だそうだが、コンピュ…



 正規のWebサイトが改ざんされ、不正なWebサイトへ誘導されるガンブラー攻撃、フィッシング詐欺サイ…



 2009年3月末より、多数のWebサイトに不正なスクリプトが組み込まれる攻撃が確認された。このスク…


「その他ネットワークセキュリティ関連」関連の製品

ネットワーク分離ソリューション 【アクシオ】 標的型サイバー攻撃・内部対策アプライアンス iNetSec Intra Wall 【PFU】 SSL特化で暗号処理も安全性も向上 SSL Visibility Appliance 【マクニカネットワークス株式会社】
その他ネットワークセキュリティ関連 その他ネットワークセキュリティ関連 その他ネットワークセキュリティ関連
二要素認証、操作ログ、標的型攻撃対策、ファイル共有、ネットワーク分離を構成する各プロダクトと構築サービス。 ネットワーク内の通信を監視することで、標的型サイバー攻撃によるマルウェアの活動を検知し、感染端末の通信を自動的に遮断するアプライアンス。 安心と思ったSSL暗号化は攻撃者も使ってくる、既に悪用は過半数

「その他ネットワークセキュリティ関連」関連の特集


ウイルスや不正アクセス被害の統計データで上半期のセキュリティ事情を振り返ります。今年はどんな脅威が待…



 IPAセキュリティセンターでは、2011年1月27日に学習教材と演習環境をセットにした「脆弱性体験…



有名サイトと信じてアクセスしたら、IDとパスワードが犯罪者の手に!未だ横行するフィッシング詐欺の手口…


「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2


30003943


IT・IT製品TOP > ネットワークセキュリティ > その他ネットワークセキュリティ関連 > その他ネットワークセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ