ウイルスやワームによる攻撃はインターネットやPCの普及によって社会問題として取り上げられるまでになった。ここ最近で最もインパクトが大きかったセキュリティ脅威と言えば、やっぱり昨年末から今年初めにかけて話題となった「ガンブラー攻撃」だろう。

小誌でも何度かガンブラー攻撃に関する記事を掲載したが、いずれの記事も多くのアクセスを集めた。小誌のようなWebメディアに加えて、テレビや新聞といった一般メディアもガンブラー攻撃を取り上げたことが、より注目を集めることとなったと言えよう。

以前に比べると、ガンブラー攻撃について耳にする機会は減ったが、本当に沈静化したのだろうか? 目に見えないセキュリティ攻撃だけに、気付いてないところで事態が悪化している可能性もある。

今回、ラック サイバーリスク総合研究所所長を務める新井悠氏にガンブラー攻撃の最新動向、対策などについて話を聞いた。

ガンブラー攻撃は収束したのか?

初めに、新井氏にガンブラーの動向について聞いたところ、「ピーク時よりも被害は減ってきており、落ち着いてきたと言えます。しかし、まだ警戒が必要なレベルは脱していません」という。同社は3月3日、Apacheの設定ファイルである「.htaccess」の不正アップロードを行うガンブラー攻撃を複数のWebサイトで確認したという発表を行っている。

そもそも、ガンブラー攻撃はわれわれにどのような被害をもたらすのだろうか?

新井氏は、ガンブラーの脅威を考える際、Webサイトを改竄される企業と改竄されたWebサイトからウイルスや偽ソフトウェアなどに感染するユーザーとに分ける必要があると指摘する。

「企業がWebサイトを改竄された場合、その調査に対してコストと手間を割かなければなりません。一方、ユーザーが被害にあったら、結局、マルウェアに感染したマシンを再インストールしなければなりません。また、被害にあったユーザーからの電話が社内のIT部門やコールセンターなどに殺到し、その応対に追われることになるでしょう。ガンブラー攻撃の被害はさまざまなところに波及し、その対策を講じるためにコストが増えることになります」

セキュリティリスクを左右するブラックマーケット

ガンブラー攻撃がこれほどまでに"流行"したのは、何か理由があるのだろうか?

新井氏によると、ガンブラー攻撃ではWebサイトに改竄されたスクリプトの埋め込みが行われるが、こうした悪質なプログラムを売買するためのブラックマーケットがあり、そこでのトレンドが攻撃のトレンドを左右するという。

「ブラックマーケットでは、あるFTPサイトのアカウントとパスワードにWebサイトを改竄するソフトウェアが売られています。これは正にガンブラー攻撃で用いるツールであり、これらを持っていれば誰でも攻撃できてしまうわけです。また、ガンブラー攻撃をサービスとして請け負う業者もいます」

最近、マルウェアの感染状況に地域性が出てきているそうだ。例えば、セキュリティツールなどの偽ソフトウェアを用いてクレジットカード番号を盗むという攻撃が増えているが、この偽ソフトの日本語版も出回り始めている。「金銭を狙うという目的では、先進国のほうが狙われやすいのも事実です」と新井氏。

ちなみに、偽ソフトの英語版などいかにも怪しいように思うのだが、なぜ被害にあってしまうのかと聞いてみたところ、「振り込め詐欺と同じです。偽ソフトの警告画面を見たらびっくりしてしまって、普段ではとらないような行動に出てしまうのではないでしょうか。その辺りは、ツールの開発者たちもいろいろと研究しているはずです」と、新井氏は答えてくれた。

ガンブラー対策の基本はウイルス対策ソフトの導入とセキュリティアップデート

日本でこれほどメジャーになったガンブラー攻撃だが、海外の人には知られていないという。「ガンブラー攻撃でウイルスに感染する経路の1つであるWebページを見ただけで感染してしまう"drive by download"と言えば、海外の人にも通じる。日本では、FTPなどの暗号化されていないプロトコルの通信からデータを盗むもともとのGumblarウイルスと、盗んだアカウントとパスワードを用いてdrive by downloadなどを引き起こす攻撃をまとめて"ガンブラー"と呼んでしまっている」と、同氏。

では、ガンブラー攻撃がどのようなものか正確に知っておく必要があるのだろうか? 新井氏は、「ガンブラー攻撃は大きく取り上げられているが、ユーザーからするとこれまでのセキュリティ対策を行うことには変わりない。ユーザーにセキュリティ対策の重要性を周知するという意味では、ガンブラーはいい機会だったと思う」と語る。

"これまでのセキュリティ対策"と言っているように、新井氏は、ガンブラー攻撃から身を守るには、ウイルス対策ソフトを導入し、利用しているソフトウェアのセキュリティアップデートをきちんと行うことが第一だとアドバイスする。

「Windows　Updateは自動更新ですし、Adobeのアップデーターも週に1度更新が行われるので、まずはこれらを行っていただきたい。ただしAdobe製品の場合、最新版でないとアップデーターが動きません。したがって、古いバージョンのAdobe製品を使っている人は確認が必要ですね」

これからのセキュリティ脅威はどう進化していくのか?

ガンブラー攻撃に用いられているウイルスは亜種がどんどん増えており、これからも進化を続けていくだろう。ガンブラー攻撃よりも強力なセキュリティ脅威は現れるのだろうか?

新井氏は、「Webサイトの改竄という攻撃自体、ここ3年間にわたって行われており、新しいものではありません。しかし、そこで用いられる技術は変わるでしょう。Webサイトの改竄と未知の脆弱性を突くゼロデイ攻撃は、いわばセットです。今でも未修正のソフトウェアの脆弱性は週に数十個見つかりますが、これらの情報もまたブラックマーケットで売られるわけです」と説明する。

Windows、Internet Explorer、Adobe Readerなど、広く利用されているものほど攻撃の対象が多いため、脆弱性が見つかるという。脆弱性が見つかり、それを修正するためのパッチを当てる――果てしない戦いだ。

しかし、今の時代にインターネットを安全に使おうと思ったら、それくらいの手間を惜しんではいけないのかもしれない。

なお、新井氏は最後に「過去、普通にインターネットを使っている限りは、ウイルスに感染する機会はほとんどありませんでした。いろいろと検索をして、さまざまなWebサイトを閲覧するようになった今、感染リスクが高まっています」とアドバイスしてくれた。

確かに私たちはサーチエンジンの発達によって検索しなければ見つけられなかったようなWebサイトに軽々と飛べるようになった。検索の便利性と引き換えに、リスクを負ってしまっているのかもしれない。

ラック サイバーリスク総合研究所所長 新井悠氏