TOP情報セキュリティ> 【セキュリティ最前線】セキュリティ、全部見せます> 第2回:お金儲けがその目的と知れ (2/3)

【セキュリティ最前線】セキュリティ、全部見せます

【セキュリティ最前線】セキュリティ、全部見せます

第2回:お金儲けがその目的と知れ

監修:シマンテック 濱田 譲治

著者:シンクイット編集部

公開日:2008/1/21(月)

イタリアで発生した大規模Webサイト改竄

MPackが話題となった遠因は、イタリアで起こった大量のWebサイトの感染報告にその端を発している。前述のように、MPackを導入したWebサイトには別のサイトから誘導をかける必要がある。これは、訪問者がいなければマルウェアを感染させることができないからだ。

MPack自体には誘導先を生成する機能はなく、その仕組みはユーザ自身が用意する必要がある。この仕組みとしては、迷惑メールでWebサイトのURLを送りつけるといった手法が考えられる。実はイタリアで発生したのは、非常に多くの企業のWebサイトが改竄され、IFRAMEタグによる攻撃サイトへの誘導であった。

このような大規模なWebサイトの改竄が2007年初頭に行われ、その遷移先である攻撃サイトがMPackを採用していたことからMPackが有名になったのである。この大規模な改竄で、どのようにして大量のWebサイトに対してIFRAMEタグを挿入できたのかについては、残念ながらはっきりした情報がない。

おそらく、さまざまなWebサイトを管理している管理者の情報が漏れ、その情報をMPackによる攻撃を行ったユーザが購入したか、自分自身の手で盗みだしたかであると考えられている。

2007年以前はほとんどは電子メール経由でウイルスが配信されていたが、2007年からはWeb中心の攻撃が普及した。その1つの攻撃方法としてIFRAMEタグは当たり前のように使われるようになり、その数は1位2位を争うまでになった。



IT管理者のセキュリティ意識が対策の要

IFRAMEタグによる攻撃サイトへの遷移は、訪問者がWebブラウザでみた場合にまったく発見できないという点だ。Webページのソースコードを開いて確認するか、またはネットワークアクセスのログをチェックするほかはない。

実際イタリアの事件では、IFRAMEタグを挿入された側のWebサイトの管理者は「攻撃が行なわれた」ことについて気づいていないケースが多かった。しかも、管理者に対して状況を説明して一旦はWebサイトのIFRAMEタグが削除されたものの、後日チェックすると再度改竄されている場合もあった。

これは「Webサイトが改竄された」ことに対して、改竄されたWebページの修正はできたけれども、ログイン用のパスワードを変更しないと再度改竄される可能性がある点については理解されていなかったようだ。

シマンテックでは、ウイルスや改竄などの問題を発見した際に、必ず管理者に連絡を入れている。しかし多くの管理者が、攻撃が行なわれたことをあまり理解できておらず、また何をどう対処したらよいのか理解できずに戸惑うケースが多い。

去年からは、企業のIT管理者にとってセキュリティに対する責任感が非常に重要になっている。被害者であると同時に、改竄されたWebサイトへの訪問者にとっては、ある意味で「加害者」となってしまうからだ。企業のブランドイメージを守るためには、企業側でもさまざまな対策が必要な時代になったといえるだろう。

そのためにも木曜日の連載を参考に、企業レベルでのセキュリティポリシーを今一度考えてもらいたい。 次のページ



INDEX
第2回:お金儲けがその目的と知れ
  フィッシングサイトを構築するプロ向けツール
イタリアで発生した大規模Webサイト改竄
  大規模イベントの時期は要注意