Gumblar(ガンブラー)対策とカスタムシグネチャの提供

 2010.01.28  株式会社ジェイピー・セキュア

猛威をふるう、Gumblar(ガンブラー)とは
Gumblar(ガンブラー)とは、2009年後半より現在まで多発しているウェブページの改ざん事件において、その原因となっている、攻撃プログラム(およびその手法)の一般名称です。一般企業から公的機関、教育機関、など様々な組織が被害を受けており、その中にはセキュリティ対策を専門にする企業も含まれるなど、大変深刻な問題となっています。
Gumblarは、感染した端末がウェブサイトのコンテンツ管理などに使用されている場合、FTPサーバーへのログインIDやパスワードを盗み出し、盗んだログイン情報を悪用してウェブページを改ざんする、といった挙動を行います。「正規の管理者になりすましてFTP通信が行われる」、「ウェブサーバー自身にはウイルスが埋め込まれずユーザーは悪意あるサイトに誘導される」といった特徴から、ウェブサーバー側での対策が難しいケースも多く、非常に多くのウェブサイトが改ざんの被害を受けています。

「SiteGuard」で悪意あるサイトへの誘導を防御
Gumblar攻撃のイメージ 一般的な流れウェブアプリケーションファイアウォール(WAF)は、SQLインジェクションをはじめとする、ウェブアプリケーションに対するリクエストデータを悪用する攻撃を防御するツールとして主に利用されていますが、「SiteGuard」はリクエストデータだけでなくレスポンスデータも検査することができます。 この「SiteGuard」のレスポンス検査機能を活用することにより、ウェブサイトにアクセスしたユーザーが 悪意あるサイトに誘導されるのを未然に防ぐことを可能とします。同時に、Gumblarによってウェブページが改ざんされた事実を検知(注意:Gumblarによる改ざん行為そのものを防御するものではありません。)する効果もあります。

gumblar_01

その他の対策も必要
しかし、図【Gumblar攻撃のイメージ(一般的な流れ)】で示したとおり、Gumblarによる被害全体を考慮すると、残念ながらWAFだけでは万全な対策を施すことはできません。端末の各種ソフトウェア環境を最新状態に更新することやFTPサーバーのアクセス制限など、様々な対策が求められます。「SiteGuard」による対策は限定的な対策という側面はありますが、被害を極小化するための一助にして効力を発揮するものです。

「SiteGuard」による対策方法の内容

  1. Gumblarにより改ざんされたウェブページの特徴的なパターンを「SiteGuard」のレスポンス検査によって検出します。
  2. 上記1のパターンは、「SiteGuard」のカスタム・シグネチャによって定義を行います。
  3. 「SiteGuard」をご利用中のお客様には上記2の定義情報をサポートサービスの一貫として無償でご利用いただけます。

Gumblar(ガンブラー)対策用シグネチャ&ガイドのダウンロード
「Gumblar(ガンブラー)対策用シグネチャ&ガイド」は、サポート契約をご締結いただいている「SiteGuard」をご利用のお客様へ提供させていただくものです。「契約内容確認書」記載のユーザーIDとパスワードをご確認のうえダウンロード画面へお進みください。