もうすっかりガンブラー中毒です。
(前も書きましたがウチが感染したのではなく、お客様からの相談が多いということです)
それで、いろいろと勉強したり、シマンテック社の MessageLabs ホステッドサービスの担当の方とお会いしたりして、またいろいろと吸収したので、書ける範囲でまとめます。
・ガンブラーはいろんな種類がある
前にも書きましたが、ガンブラーはサーバの脆弱性をついたハッキング行為の名前ではなく、ウイルスが感染してサーバのID/Passwordを盗み取って改ざん等の悪意を働くクライアントPCへの一連の複合型の攻撃の事をいいます。
で、いくつかのパターンが公開され、対応方法なども出されてますが、担当の方がおっしゃるには「氷山の一角」でかなり多くのパターンがあるそうです。
(例)
- ウイルスが ID/Password を盗んでハッカーが利用するサイトにアップし、
それを使ってハッカーが手動でハッキングを行っている
- ウイルス自体が ID/Password を使ってWebサーバへアクセスし、
勝手にページ(html や Flash)を書き換えてウイルスページへ
リダイレクトさせるところまで自動でやっている
この前者と後者を比べても手段も違えば被害内容も違います。それでも両方とも「ガンブラー」です。ですので、何がどうなっていたら「ガンブラー」という定義はできないそうです。
担当の方も識別したり、パターン認識するのが大変らしいです。
・被害にあったドメイン数は 2048 !(まだまだ増加中)
これはもう少し確認を取る必要がありますが、相当な数のガンブラー攻撃がなされているようです。ニュースになっているサイトは本当に「氷山の一角」のようです。
・Webサーバへアクセス権限のあるPCの徹底管理とWebサーバの常時確認を
前回はIPアドレス制限をかけることをおすすめしましたが、それだけでは全然足りないそうです。海外からの自動ハッキングにはこれで大体対応できるらしいのですが、手動ハッキングの場合はIPアドレスもなりすまして入るので、ID/Password が洩れた時点でアウトだという事です。
洩れないようにする事と、洩れた時にすぐ確認できることの2点に注力するようにとの事でした。
まだまだいろいろと情報が入って来ていますので、しばらくはガンブラー対策がメインとなりそうです。
