ドライブバイダウンロードとは?その手法と対策

 2020.06.17  株式会社ジェイピー・セキュア

日頃から閲覧しているウェブサイトが攻撃者によって改ざんされ、悪質なプログラムが組み込まれてしまうことがあります。それに気づくことなく、私たち利用者がウェブサイトにアクセスすることを攻撃者は虎視眈々と待ち構えています。

本稿では、インターネットユーザーなら誰もがその危険に晒されているドライブバイダウンロードについて解説します。ドライブバイダウンロードは2010年の「ガンブラー(Gumblar)」の大流行により、その名が広く知られることになりました。よく覚えている方もいれば、聞き覚えがあるくらいであったり、知らないとう方も多いのではないでしょうか。サイバー攻撃の手法としてその脅威は変わらず存在していますので、この機会にドライブバイダウンロードについて知りましょう。

ドライブバイダウンロードとは?

利用者のウェブサイトへのアクセスをきっかけに、秘密裏に不正なプログラムをダウンロード、インストールする攻撃手法のことをドライブバイダウンロードといいます。多くの場合、マルウェアに感染するという被害を受けます。

信頼性の低いウェブサイト、怪しいと思ったサイトにアクセスしないことは、私たち利用者にとって自分自身を守るための策であり、普段から心がけている方も多いと思います。しかし、ドライブバイダウンロードでは、攻撃者によって改ざんされた正規のウェブサイト経由で攻撃されることも多いため、大手企業や有名企業のサイト、ショッピングサイト、人気のブログなど、安心して利用できると思っていたウェブサイト経由で攻撃が行われる可能性があります。

ドライブバイダウンロード

このように攻撃者は、予めマルウェアなどの不正プログラムをダウンロードさせるための攻撃用のサイトを用意しておきます。次に正規ウェブサイトが抱える脆弱性や問題を悪用してウェブサイトを改ざんし、ウェブサイトを訪れた利用者を攻撃用のサイトへ誘導するのです。利用者である私たちからすると、いつも通りウェブサイトを閲覧していただけなのに、気づかないうちに攻撃を受けてしまうということになります。

利用者にとって危険を感じないウェブサイトであってもそのリスクが潜んでいるという点に注意が必要です。

ガンブラー(Gumblar)とは?

ドライブバイダウンロードという攻撃手法が広く知られるようになったのは、2010年のガンブラー(Gumblar)の大流行でした。

「ウェブサイトの改ざん」と「ウェブサイトにアクセスするだけで感染するマルウェア」による攻撃を組み合わせることで、多数のコンピュータに被害が生じました。ガンブラーは、ドライブバイダウンロードによってコンピュータをマルウェアに感染させて、管理者IDの情報(FTPアカウント情報)を攻撃者に送信することでウェブサイトを改ざんし、同種のマルウェア感染からまた次の改ざんのように広がっていきました。

なお、ガンブラー自体はウイルスやマルウェアの名称ではありません。ドライブバイダウンロードによって誘導されるURLの名称から一連の攻撃がガンブラーと呼ばれるようになりました。

New call-to-action
ジェイピー・セキュアソフトウェアライセンス価格表

ドライブバイダウンロードの対策

では、ドライブバイダウンロードの対策として何を実施すれば良いのでしょうか?

1. OSやソフトウェアを常に最新の状態に保つ

ドライブバイダウンロードでは、コンピュータが抱えている脆弱性を悪用した攻撃を仕掛けてきます。そのため、OSや利用しているソフトウェアを最新状態に更新し、保つことが有効です。

OSといえばWindowsやMac OSを思い浮かべる方が多いかもしれませんが、パソコンだけでなく、AndroidやiOSといったスマートフォンやタブレット用のOSについても最新状態にすることが大切です。利用者が多く、人気のあるソフトは狙われやすい傾向にありますので、特に注意する必要があります。多くのソフトでは最新版の自動ダウンロードや通知の機能が備わっていますので、これらの機能を活用しましょう。

2. セキュリティ対策ソフトをインストールして最新状態を保つ

攻撃者は、なんとしてもコンピュータをマルウェアに感染させようと攻撃を仕掛けてきます。そのため、マルウェア対策用のセキュリティソフト(ウイルス対策ソフト)をインストールすることが有効です。

ウイルス対策ソフトのインストールは一般化しており、対策として浸透している状況ですが、不正プログラムを検出するためのパターンファイルやエンジンが古いままだと、その効果は著しく低下してしまいます。こちらも最新状態を保つために自動ダウンロードなどの機能を活用することが大切です。

ウェブサイトのセキュリティ対策・WAFの活用

ドライブバイダウンロードは、ウェブサイトの改ざんと組み合わせて行われることがあると説明しました。そうなるとウェブサイトの運営者が実施すべき対策も見えてきます。

1. FTPやSSHによる管理アクセスの制御

FTPやSSHによる管理者アクセスにおいて、脆弱なパスワードを使用していると管理者になりすました改ざんの被害を受ける可能性が高くなります。アルファベットの大文字小文字と数字、記号などを混ぜた強固なパスワードを使用するようにしましょう。

なお、ガンブラーではマルウェア感染によりFTPアカウントの情報が盗まれました。このようなケースではいくら強固なパスワードを使用していたとしても防ぐことができませんので、適宜パスワードを変更するほか、可能であれば接続元IPアドレスによるアクセス制御を実施するようにしましょう。管理者の責務として自分自身のパソコンがマルウェアに感染しないように、ウイルス対策ソフトのインストールと最新化についても忘れずに取り組むようにしてください。

2. CMSのバージョンを最新状態に保つ

ウェブサイトの改ざんではCMS(Contents Management System)の脆弱性が悪用されるケースがあります。CMSを利用している場合は、CMSのバージョンを最新状態に保つように努める必要があります。

CMSの環境では、管理画面をターゲットとして不正ログインによる被害も相次いでいます。前述のFTPやSSHと同様、強固なパスワードを使用するのはもちろんのこと、アクセス制御やセキュリティプラグインの活用を検討するようにしましょう。

関連記事:CMSのセキュリティを強化しよう

3. WAF(ウェブアプリケーションファイアウォール)を導入する

ウェブサイトの改ざんにおいて、代表的な攻撃手法にてSQLインジェクションがあります。WAFを導入することで、ウェブアプリケーションの脆弱性を悪用する様々な攻撃からウェブサイトを保護することができます。

WAF

<WAFで防げるサイバー攻撃>

  • SQLインジェクション
  • クロスサイトスクリプティング(XSS)
  • ディレクトリトラバーサル
  • OSコマンドインジェクション
  • クロスサイトリクエストフォージェリ(CSRF)
  • 改行コードインジェクション(HTTPヘッダ、メールヘッダ)
  • パラメータ改ざん
  • ブルートフォース(ログインアタック等)
  • Apache Strutsの深刻な脆弱性 他

SQLインジェクションによるウェブサイトの改ざんでは、2011年のライザムーン(Lizamoon)による大規模改ざんが大きな話題となりました。

ライザムーン(Lizamoon)

ライザムーン(Lizamoon)も正規のウェブサイトを改ざんし、利用者を攻撃用のサイトへ誘導するものでした。ウェブサイトの改ざんには大規模なSQLインジェクションが仕掛けられ、誘導されるURLの名称からライザムーン(Lizamoon)と名付けられました。

誘導先のサイトでは、オンラインによるウイルススキャンを実施しているように見せかけた上で「偽の警告」を表示するようになっていました。動揺した利用者が攻撃者によって仕向けられた「偽のセキュリティ対策ソフト」をインストールする過程でクレジットカード番号などを入力してしまい、個人情報が詐取されるという被害が発生しました。

いかがでしょうか?訪問者を守る安心・安全なウェブサイトを運営したい。そう思ったら、ぜひWAF導入をご検討ください。

WAFとは~WAF選定・導入のポイントとSiteGuardが選ばれる理由~

RECENT POST「Webセキュリティ」の最新記事


ドライブバイダウンロードとは?その手法と対策
SITEGUARD

RANKING人気資料ランキング

RECENT POST 最新記事

ブログ無料購読

RANKING人気記事ランキング