2010年1月8日金曜日

ガンブラー(Gumblar)ってやつは

技術畑出身なもので、アクセス解析以外にもこのテの相談も受けたりします。

・ガンブラーはWebサイトの脆弱性をついたハッキングではなくウイルス

このガンブラー自体はWebサイトを見て感染したり、USBメモリ経由で感染する典型的なウイルスで、ハッキング手法ではありません。
では、なぜ「ガンブラーによるWeb改ざん被害」が多いのでしょうか?
これは、このウイルス自体がパソコンからFTPツールを使用する際の ID/Password を盗み取るため、それを利用してWebサイトを改ざんするハッカーがいる為にそう呼ばれています。

・なぜこんなに被害数が多いのか?

最近ニュースになっただけでも

サイバーエージェント
http://www.cyberagent.co.jp/news/press/2010/0101_1.html
http://www.cyberagent.co.jp/news/press/2010/0107_3.html
ラジオ関西
http://jocr.jp/company/info.html#anitama
ホンダ
http://www.honda.co.jp/oshirase/
JR東日本
http://www.jreast.co.jp/apology/20091223_restart.html
信越放送
http://www.sbc21.co.jp/notice/notice091227.html
モロゾフ
http://www.morozoff.co.jp/_cms_/news_item/detail/item00085.html
ローソン
http://www.lawson.co.jp/emergency/detail/detail_39.html
ハウス食品
http://housefoods.jp/company/info/info2278.html
京王グループ
http://www.keio.co.jp/news/update/announce/nr100106v01/index.html

こんなにあります。
これからも新型インフルエンザの如く感染が拡大しそうな勢いです。

なぜこんなに被害が大きいのでしょうか?
これらの会社はウイルス対策をしてなかったのでしょうか?

このウイルス自体はそんなに新しいものではなく、昨年10月にはほとんどのウイルス駆除ソフトで対応済みでした。また、これらの企業にはおそらくこれらのどれかは対策とられてたはずです。

・問題はWebサイト運用体制


おそらくですが、これらの企業の問題点のほとんどは Webサイトの運用体制
にあると考えられます。特に最も可能性が大きいと思われるのが

正月対応などの営業時間外の緊急対応を「家から」、「自分のPC」で対応するために、IPアドレス制限をかけていなかった

というものです。
会社のPCは会社がウイルス対策をしているものの、家のPCのウイルス対策が最新になっていなかったばかりにガンブラーに感染し、そこからアクセス情報が洩れ、家からアクセスできるようにIPアドレス制限をかけていなかったサーバにそのままアクセスでき、改ざんされた。というのが最も多いパターンだと思われます。サーバから見ると、これらはいたって正常なアクセスなので、AppScan のような脆弱性診断ツールでは当然見つけられないものです。

・サーバーには必ずIPアクセス制限を

どうしても家からアクセスしたい場合は、一旦VPN等で会社にアクセスした上で画面をとばしてWebサーバにアップする手法が必須です。
その他にも IPA のサイトにきれいにまとめてあるのでこちらを見ることをお勧めいたします。

ウェブサイト管理者へ:ウェブサイト改ざんに関する注意喚起
一般利用者へ:改ざんされたウェブサイトからのウイルス感染に関する注意喚起
http://www.ipa.go.jp/security/topics/20091224.html

Webサイト運用会社が悪いのではなく、原始的な運用体制に問題があるという認識ですので、ガンブラー被害にあった会社は運用プロセス自体を見直しされる方が良いかと思われます。