今回は趣向を変えて,複数の不正プログラムにより引き起こされる最新の脅威を仮想的に再現してみたい。トレンドマイクロでは現在最も多く発生している脅威のモデルを「Webからの脅威」と定義している。その最大の特徴は,インターネット経由のダウンロードなどにより複数の不正プログラムが侵入し被害を拡大し続けるというものだ。

 この攻撃の導入口として増加している攻撃方法として,正規Webサイトの改ざんがある。正規Webサイトを何らかの手段でハッキングし,そのコンテンツを変更する攻撃は古くからあったが,Webからの脅威のモデルにのっとった大規模な正規Webサイトの改ざん例としては,2007年6月に発生した「イタリアンジョブ」と呼ばれるケースが最初のものである。イタリアを中心に100以上の正規Webサイトが改ざんされた事例だ。

 この攻撃では,改ざんされた正規Webサイトには他の不正サイトへリダイレクトするHTMLタグやスクリプトが埋め込まれるだけで,表面上の変化はない。正規サイトにアクセスしたユーザーは知らないうちに不正サイトへリダイレクトされ,不正プログラムの侵入の危険性にさらされることとなる。

 「イタリアンジョブ」の発生以来,正規Webサイト改ざんの攻撃手法は定番化が進んだ。日本でも中小規模の改ざん事例が散発的に確認され続けてきた。そしてこの2009年3月以降,日本ではこれまでで最も大きな規模の被害に繋がる正規サイト改ざん事例が確認された。それが世界的に「Gumblar(ガンブラー)」ウイルスと総称される攻撃である。日本では初期に改ざんされたサイトの名前で今回の攻撃を呼ぶことが多いようだが,ここでは世界的な呼称に倣い「ガンブラー」とする。ちなみにこの「ガンブラー」とはリダイレクト先の不正サイトのドメイン名からとったものだ。

 では,ガンブラーの攻撃を例に,正規Webサイト改ざんによる被害を仮想的に再現してみよう(図1)。被害を受けるPC以外にWebサーバーを用意する。Webサーバー(テスト機1)のIPを10.10.10.80,被害PC(テスト機2)のIPを10.10.10.10と設定し,スタンドアロン・ネットワークで接続した。次に,被害PC上で不正スクリプトによるリダイレクトを確認するため,フリーの通信監視ユーティリティである「InetSpy」と「横取り丸」(この2つのユーティリティは連動して動く)をインストールし設定した。

図1●今回検証した環境
図1●今回検証した環境
ガンブラーウイルスと呼ばれる攻撃に使用された不正プログラムを用意し,一連の攻撃の流れを仮想的に検証する

この先は会員の登録が必要です。有料会員(月額プラン)は申し込み初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら