IPAは、毎月発表するコンピュータウィルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、ガンブラー対策について、Webサイト管理者の側から、対策方法などを紹介している。

いまだに続く「ガンブラー」の被害

IPA「今月の呼びかけ」

ガンブラーによるWebサイトの改ざんは依然として続いており、現在でも「某Webサイトを閲覧したらウイルス検知の警告が表示された」、「顧客からの通報で自社Webサイトの改ざんが発覚した」などの相談や届出がIPAへ寄せられている。また、悪意を持った攻撃者による改ざんの手法も高度化・巧妙化してきいる。したがって、改ざんが行われたかをチェックすることが非常に困難になってきている。

しかし、多くの閲覧が行われるWebサイトで改ざんが行われると、多大な被害が発生し、改ざん対策がますます重要になってきている。したがって、Webサイト管理者はガンブラーによる改ざん被害を未然に防ぐために、Webサイトをこれまで以上に適切に管理する必要がある。以下、IPAによる具体的な管理方法などを紹介する。

改ざんを防ぐための管理方法

まずは、パスワードの強化である。Webサイトの更新などに使用するftpのパスワードは、十分な長さと複雑さをもったものにする。先月の呼びかけでもあったように、安易なパスワードは総当り攻撃に対し非常に弱い。また、そのパスワードは、Webサイトを更新する人のみが知るようにする。

次に、アクセス制限である。Webサイトを更新できる場所を組織内のみに限定するよう、ネットワークやサーバの構成を見直す。これは、悪意を持った攻撃者がパスワードを盗み出しても、外部のPCからはWebサイトの更新が行えないようにすることで改ざんを行えないようにすることが目的である。もし、インターネット経由でWebサイトを更新する必要がある場合でも、VPNを導入するなどして、更新できる場所を限定する。

最後に、Webサイトの更新専用PCの導入である。更新専用PCでは、ウイルスによる被害を防止するためにWebの閲覧やメールの確認をせず、ウイルス対策ソフトを最新の状態にし、可能な限り脆弱性を解消しておく。ガンブラーの被害の第一歩は、ウイルスなどでftpのパスワードを盗み出されることが多い。また、ソーシャルエンジニアリングなどでパスワードを盗み出されるとも限らない。そこで、更新専用のPCを用意し、ウイルス感染などの可能性を極力減らすのである。

改ざんに気付くための管理方法

改ざんされた状態が長くなればなるほど、ユーザに被害が拡大する恐れがある。もし、改ざんされた場合でも、早期に改ざんに気付くことができれば、被害の拡大が防げるであろう。しかし、最近の改ざん事例では、WebサイトのHTMLファイルを見ただけでは改ざんの有無を確認することが難しい。

そこで、あらかじめクリーンな状態のファイルを保管しておき、これとWebサーバ上のファイルとを定期的に比較する。もし、これらのファイルで違いがあれば、改ざんの有無が確認できる。この比較には、大量にあるファイルの比較を一括で行えるようなソフトを利用すると便利であろう。次に、Webサイトの更新などで使用するftpのアクセスログを定期的にチェックを行うことだ。身に覚えのない接続があれば、不正アクセスを疑うべきであろう。

これ以外には、費用はかかるが、改ざんを早期に発見するためのWebサイト改ざん検知サービスなどを利用することも一案となる。また、Webサイト管理者がWebサイトをチェックし、改ざん箇所を発見することが本来であるが、Webサイト利用者から指摘されることで、改ざんが発見される場合もある。このような場合を想定し、Webサイト上にメールアドレス等の連絡先を掲載しておくのもよいだろう。

Webサイト改ざんの被害発生時の対処

Webサイトが改ざんされてしまった場合、Webサイト管理者は被害者であると同時に、Webサイト利用者に対する加害者となってしまう可能性がある。被害の拡大を防ぐことが、最優先事項となる。改ざんが判明したら、早急にWebサイトの公開を停止する。同時にftpのパスワードの変更も行う。このとき、これまでWebサイトの管理に利用していたPCには、ftpのパスワードを盗み出すウイルスが感染している可能性が高い。異なるPCから操作すべきであろう。同時に、別のWebサイトを立て、Webサイト利用者に対して調査状況の説明や、問い合わせ用窓口を設けるなど、情報提供に努めることも重要な対策となる。

以上の対策を行った後に、改ざん箇所の洗い出しなどの調査となる。保管しておいたクリーンなファイルとWebサーバ上のファイルの比較などの方法で、残るすべての改ざん箇所の洗い出しを行う。また、同じPCで管理しているWebサイトが複数ある場合、他のWebサイトにも改ざんが及んでいる可能性があるため、必ずすべてのWebサイトのファイルを確認する。また、改ざん期間などを把握するため、改ざん箇所ごとにftpのアクセスログの確認なども行う必要がある。

Webサイトを再公開する場合

改ざん箇所の修正を行ったうえで、Webサイトの公開を再開する場合、必ずWebサイト利用者への改ざんの事実の告知も掲載する。Webサイト再開の際には、判明した範囲で、次に示す情報を告知すべきであるとする。

  • 改ざんの事実の説明
  • 改ざんされていた箇所
  • 改ざんされていた期間
  • Webサイト利用者が改ざんされていた箇所を閲覧した場合に想定される被害(ウイルス感染など)の説明
  • ウイルスのチェック方法の説明(必要に応じてオンラインスキャンサイトの紹介など)
  • 問い合わせ用窓口の連絡先

また、IPAでは、改ざんなどの被害に遭った場合、できるだけ届け出を行ってほしいとしている。個人や組織を特定する情報を除き、対策情報として活用する。