「Gumblar」型攻撃に新たな手口、セキュリティ企業が注意喚起

ラックは、Apacheの設定ファイル「.htaccess」を悪用して閲覧者を不正サイトに誘導する新たなGumblar型攻撃が見つかったと発表した。

[ITmedia]

　セキュリティ企業のラックは3月3日、Webサイトの改ざんを通じて閲覧者をマルウェアに感染させる通称「Gumblar」型攻撃で、Webサイトの改ざんに新たな手口が見つかったと発表した。従来の対策では防げない可能性があるという。

　Gumblar型攻撃では、攻撃者がWebサイトの管理アカウントなどを不正に入手し、閲覧者を外部の攻撃サイトへ誘導するよう改ざんする手口が知られている。従来の改ざんでは、難読化されたスクリプトなどが埋め込まれていた。

　新たな手口ではApacheの設定ファイル「.htaccess」を攻撃者が標的サイトの不正にアップロードしている。主要な検索サイトからのアクセスや「404」「403」などのエラーによって、閲覧者がApacheのリダイレクト機能で攻撃サイトに転送され、従来のGumblar型攻撃と同様に不正プログラムがダウンロードされてしまう恐れがある。

　同社では3月1日にこの手法による改ざん被害を確認したが、調査の結果1月末に攻撃が仕掛けられていた可能性のあることが分かったという。

　この手法ではコンテンツファイル自体は改ざんされず、また、ブックマークやURLを直接入力したサイトを表示した場合も影響を受けないため、Webサイト管理者が被害に気付きにくいのが特徴だという。閲覧者側でも、従来は例えばFirefoxとアドオンのNoScriptの組み合わせで攻撃をブロックできたが、RequestPolicyなどのリダイレクト対策ができるアドオンを利用する必要がある。

　Webサイト管理者に対して、同社ではFTPの転送ログなどを活用して身に覚えのない.htaccessファイルがアップロードされていないか確認してほしいと呼び掛けている。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら