日頃から閲覧しているウェブサイトが攻撃者によって改ざんされ、悪質なプログラムが組み込まれてしまうことがあります。それに気づくことなく、私たち利用者がウェブサイトにアクセスすることを攻撃者は虎視眈々と待ち構えています。
本稿では、インターネットユーザーなら誰もがその危険に晒されているドライブバイダウンロードについて解説します。ドライブバイダウンロードは2010年の「ガンブラー(Gumblar)」の大流行により、その名が広く知られることになりました。
よく覚えている方もいれば、聞き覚えがあるくらいであったり、知らないという方も多いのではないでしょうか。サイバー攻撃の手法としてその脅威は変わらず存在していますので、この機会にドライブバイダウンロードについて知りましょう。
ドライブバイダウンロードとは?
攻撃者がWebサイトを改ざんし、利用者のウェブサイトへのアクセスをきっかけに、秘密裏に不正なプログラムをダウンロード、インストールさせる攻撃手法のことをドライブバイダウンロードといいます。多くの場合、マルウェアに感染するという被害を受けます。
信頼性の低いウェブサイト、怪しいと思ったサイトにアクセスしないことは、私たち利用者にとって自分自身を守るための策であり、普段から心がけている方も多いと思います。
しかし、ドライブバイダウンロードでは、攻撃者によって改ざんされた正規のウェブサイト経由で攻撃されることもあり、大手企業や有名企業のサイト、ショッピングサイト、人気のブログなど、安心して利用できると思っていたウェブサイト経由で攻撃が行われる可能性があります。
このように攻撃者は、予めマルウェアなどの不正プログラムをダウンロードさせるための攻撃用のサイトを用意しておきます。次に正規ウェブサイトが抱える脆弱性や問題を悪用してウェブサイトを改ざんし、ウェブサイトを訪れた利用者を攻撃用のサイトへ誘導するのです。
利用者である私たちからすると、いつも通りウェブサイトを閲覧していただけなのに、気づかないうちに不正プログラムをダウンロードしてしまうということになります。
利用者にとって危険を感じないウェブサイトであってもそのリスクが潜んでいるという点に注意が必要です。
【解説】Webセキュリティ ~Webサイトを取り巻く脅威と対策~
安心・安全なWebサイトの運営に欠かせない脆弱性対策、WAFによる対策について解説します。
ガンブラー(Gumblar)とは?
ドライブバイダウンロードという攻撃手法が広く知られるようになったのは、2010年のガンブラー(Gumblar)の大流行でした。
「ウェブサイトの改ざん」と「ウェブサイトにアクセスするだけで感染するマルウェア」による攻撃を組み合わせることで、多数のコンピュータに被害が生じました。
ガンブラーは、ドライブバイダウンロードによってコンピュータをマルウェアに感染させて、管理者IDの情報(FTPアカウント情報)を攻撃者に送信することでウェブサイトを改ざんし、同種のマルウェア感染からまた次の改ざんのように広がっていきました。
なお、ガンブラー自体はウイルスやマルウェアの名称ではありません。ドライブバイダウンロードによって誘導されるURLの名称から一連の攻撃がガンブラーと呼ばれるようになりました。
ドライブバイダウンロードの対策
では、ドライブバイダウンロードの対策として何を実施すれば良いのでしょうか?
1. OSやソフトウェアを常に最新の状態に保つ
ドライブバイダウンロードでは、コンピュータが抱えている脆弱性を悪用した攻撃を仕掛けてきます。そのため、OSや利用しているソフトウェアを最新状態に更新し、保つことが有効です。
OSといえばWindowsやMac OSを思い浮かべる方が多いかもしれませんが、パソコンだけでなく、AndroidやiOSといったスマートフォンやタブレット用のOSについても最新状態にすることが大切です。利用者が多く、人気のあるソフトは狙われやすい傾向にありますので、特に注意する必要があります。
多くのソフトウェアで最新版の自動ダウンロードや通知の機能が備わっていますので、これらの機能を活用しましょう。
2. セキュリティ対策ソフトをインストールして最新状態を保つ
攻撃者は、なんとしてもコンピュータをマルウェアに感染させようと攻撃を仕掛けてきます。そのため、マルウェア対策用のセキュリティソフト(ウイルス対策ソフト)をインストールすることが有効です。
ウイルス対策ソフトのインストールは一般化しており、対策として浸透している状況ですが、不正プログラムを検出するためのパターンファイルやエンジンが古いままだと、その効果は著しく低下してしまいます。
こちらも最新状態を保つために自動ダウンロードなどの機能を活用することが大切です。
ウェブサイトのセキュリティ対策・WAFの活用
ドライブバイダウンロードは、ウェブサイトの改ざんと組み合わせて行われることがあると説明しました。そうなるとウェブサイトの運営者が実施すべき対策も見えてきます。
1. FTPやSSHによる管理アクセスの制御
FTPやSSHによる管理者アクセスにおいて、脆弱なパスワードを使用していると管理者になりすました改ざんの被害を受ける可能性が高くなります。アルファベットの大文字小文字と数字、記号などを混ぜた強固なパスワードを使用するようにしましょう。
なお、ガンブラーではマルウェア感染によりFTPアカウントの情報が盗まれました。このようなケースではいくら強固なパスワードを使用していたとしても防ぐことができません。
可能であれば接続元IPアドレスによるアクセス制御を実施するようにしましょう。管理者の責務として自分自身のパソコンがマルウェアに感染しないように、ウイルス対策ソフトのインストールと最新化についても忘れずに取り組むようにしてください。
2. CMSのバージョンを最新状態に保つ
ウェブサイトの改ざんではCMS(Contents Management System)の脆弱性が悪用されるケースがあります。CMSを利用している場合は、CMSのバージョンを最新状態に保つように努める必要があります。
CMSの環境では、管理画面をターゲットとして不正ログインによる被害も相次いでいます。前述のFTPやSSHと同様、強固なパスワードを使用するのはもちろんのこと、アクセス制御やセキュリティプラグインの活用を検討するようにしましょう。
関連記事:CMSのセキュリティを強化しよう
3. WAF(ウェブアプリケーションファイアウォール)を導入する
ウェブサイトの改ざんにおいて、代表的な攻撃手法としてSQLインジェクションがあります。WAFを導入することで、ウェブアプリケーションの脆弱性を悪用する様々な攻撃からウェブサイトを保護することができます。
<WAFで防げるサイバー攻撃>
- SQLインジェクション
- クロスサイトスクリプティング(XSS)
- ディレクトリトラバーサル
- OSコマンドインジェクション
- クロスサイトリクエストフォージェリ(CSRF)
- 改行コードインジェクション(HTTPヘッダ、メールヘッダ)
- パラメータ改ざん
- ブルートフォース(ログインアタック等)
- Apache Strutsの深刻な脆弱性 他
SQLインジェクションによるウェブサイトの改ざんでは、2011年のライザムーン(Lizamoon)による大規模改ざんが大きな話題となりました。
ライザムーン(Lizamoon)
ライザムーン(Lizamoon)も正規のウェブサイトを改ざんし、利用者を攻撃用のサイトへ誘導するものでした。ウェブサイトの改ざんには大規模なSQLインジェクションが仕掛けられ、誘導されるURLの名称からライザムーン(Lizamoon)と名付けられました。
誘導先のサイトでは、オンラインによるウイルススキャンを実施しているように見せかけた上で「偽の警告」を表示するようになっていました。動揺した利用者が攻撃者によって仕向けられた「偽のセキュリティ対策ソフト」をインストールする過程でクレジットカード番号などを入力してしまい、個人情報が詐取されるという被害が発生しました。
いかがでしょうか?訪問者を守る安心・安全なウェブサイトを運営したい。そのような場合は、ぜひWAF導入をご検討ください。
5分でまるわかり!
WAFによるサイバー攻撃対策
そもそもサイバー攻撃とは何か?Webサイトをサイバー攻撃から守る「WAF」導入のメリットやその種類と選び方までを解説しています。
