 |
Web感染型マルウェア対策コミュニティが発足--FFRら国内ベンダーが集結 |
フォティーンフォティ技術研究所(FFR)が中心となって、ウェブ感染型のマルウェア対策を共同で行うコミュニティが結成された。各社がそれぞれの得意分野を持ち寄り、Gumblarのようなウェブ感染型マルウェアへの対策を強化していく。
Gumblarは、ウェブサイトを管理するFTPアカウントのパスワードを盗み、そのサイトの一部を改ざんする。ウェブサイトを閲覧したユーザーは、マルウェアをダウンロードしてしまう。「近年まれに見る成功したマルウェアの攻撃モデル」(FFR代表取締役社長 鵜飼裕司氏)であり、著名サイトも多く被害に遭っている。
Gumblarの特徴。感染したサイトを閲覧することで管理者のPCに感染が広がり、FTPパスワードが盗まれ、管理しているウェブサーバにさらにマルウェアが仕込まれる(クリックで拡大画像を表示)
従来のウェブ感染型マルウェアは、脆弱性をつくなどの攻撃手法でサーバへの侵入を狙っていたが、大手サイトになればなるほどセキュリティが強固なため、著名でないサイトばかりが感染していた。それに対してGumblarは、管理者のPCの脆弱性をついてFTPアカウントのパスワードを奪取し、いわば「盗んだ鍵で堂々と入る」(インフォセック 有松龍彦氏)手法。大企業のサイトも多数被害に遭った。いつも閲覧しているサイトが感染源となるため、ユーザー側も対策が難しく、現在も被害は拡大を続けている。
従来のウェブ感染型マルウェアとGumblarとの違い(クリックで拡大画像を表示)
今回設立された「Web感染型マルウェア対策コミュニティ」は、Gumblarの被害を契機にFFRが中心となって国内企業を集めた。
調査会員と賛助会員で構成するコミュニティ
調査会員と賛助会員で構成するコミュニティ
各社が情報を共有し、マルウェアの解析や攻撃手法の検証、防御手法の研究などの調査研究に加えて、成果を各社で共有するとともに、啓発活動にも活用していく計画だ。
-
知識を持ち寄りセキュリティ向上を図る
-
コミュニティの活動範囲
インターネットイニシアティブ(IIJ)、インフォセック、NRIセキュアテクノロジーズ、グローバルセキュリティエキスパート、サイバーディフェンス研究所、フォティーンフォティ技術研究所が調査会員として、NTTデータ、NTTデータ・セキュリティ、NECビッグローブ、九電ビジネスソリューションズ、システムプラザ、ニコン、ニフティ、ミクシィが賛助会員として参加。調査会員は実際に調査研究などを行い、賛助会員は、調査会員の情報をもとに顧客やインターネット全体に対する情報提供などを行う。また、JPCERT/CCの協力も取り付けている。コミュニティへの参加は無料で、今後も広く参加企業を求めていく。
-
調査会員と賛助会員が設定されている
-
3月2日現在の会員
鵜飼氏は、現在のGumblar攻撃はFTPアカウントを盗んでいるだけだが、「攻撃者のさじ加減で何でもできる」と指摘。今後、メールやオンラインバンキングのパスワード奪取、DoS攻撃、システムの破壊など、「いつ脅威が変化するか分からない」と危険性を訴える。
Gumblarは2009年5月ごろに登場して以来、「.cn」ドメインを使った亜種やGumblar.X、「.ru」ドメインを使った亜種といった変遷を経て、さらに.ruドメインの亜種でも、内部のスクリプトが数日単位で変化しており、スクリプトの難読化とあわせて従来のパターンファイルベースのウイルス対策では検知が難しくなっている。ウイルスを配布するサーバへのアクセスも、同じIPアドレスからの連続アクセスを拒否したり、感染が分かりにくいように攻撃を限定するなど、防御を難しくする仕組みが盛り込まれている。
昨年末には、多数のWindows XP搭載マシンが起動できなくなるという問題が発生し、PCメーカーなどが対応に追われたが、これはこっそり感染していたGumblarの仕業。本来は隠れているはずの感染が広く知られるきっかけとなったが、感染が多数にわたっていることを示す事例だ。
-
Gumblarの変遷
-
調査する側のアクセスも困難になっている
防御が困難であり、「1社ではなかなか対策できない」(鵜飼氏)のが現状で、今回、各社の情報を共有して国内の対策をより強化するのが狙い。鵜飼氏によれば、海外ではセキュリティ業界では担当者レベルでの交流は盛んだが、国内では多くはなく、各社ばらばらに持っていた情報を円滑に流通させることで、全体でのセキュリティの底上げを図りたい考えだ。
-
JPCERT/CCに報告されたインシデントの傾向
-
ウェブ改ざんの報告件数
-
コミュニティ参加企業の代表者。中央が鵜飼裕司氏
