Web誘導型マルウェア攻撃での注意点、カスペルスキーが解説
カスペルスキーは、2009年から続いているWebサイトの改ざんを通じてマルウェアに感染させる攻撃の変化について解説している。
セキュリティ企業のカスペルスキーは、Webサイトの改ざんを通じてマルウェアに感染させる攻撃の特徴や変化についてサイトで紹介し、改めて対策を確認するよう呼び掛けている。
この種の攻撃では、まずWebサイトに不正サイトへのリンクが密かに埋め込まれるなど改ざんが行われ、閲覧したユーザーを不正サイトに誘導する。不正サイトからユーザーのコンピュータにさまざまなマルウェアがダウンロードされる。マルウェアはOSやアプリケーションなどの脆弱性を悪用して実行され、ユーザーの情報を盗み出したり、コンピュータを不正操作したりするなどの行為を働く。
攻撃は2009年から増加し、当初は誘導される不正サイトのドメインに「Gumblar」という文字が含まれたことから、マルウェアも「Gumblar」と総称された。同年下半期にはGumblarの亜種がダウンロードされるようになり、年末年始からはGumblarやその亜種とは異なる幾つものマルウェアが出現しているという(同社では「Pegel」と呼称)。
カスペルスキーによると、この種の攻撃では改ざんされたWebサイトも感染源になってしまい、サイトにアクセスしたユーザーがマルウェアに感染することで、被害が拡大し続ける点が特徴になる。Pegelに感染する攻撃だけでも、1月24日までに国内では大手企業サイトを含め380サイト以上が改ざん被害に遭ったという。サイトの改ざん手法は巧妙で、閲覧者が見ただけではほとんど分からない。マルウェアへ知らぬ間に感染している危険もあり、同社では感染を確認した場合はOSの再インストールを推奨している。
Gumblar関連とPegelに感染させる攻撃の違いや対策について、同社では以下のように解説している。
マルウェア | Gumblar亜種(Gumblar-x) | Pegel |
---|---|---|
対象となる脆弱性 | Adobe Reader、ActiveX、Flash | Adobe Reader、ActiveX、JRE |
特徴的なコード | 改ざんされた正規サイト | *.ru:8080、/* GNU GPL */、/* CODE1 */ |
感染後の代表的な動き | FTPのアカウント情報の取得、マルウェア自体のアップデート、ルートキットによる隠ぺい | FTPアカウント情報の取得、ボットネットへの参加、偽ウイルス対策ソフトのインストール、(偽ウイルス対策ソフトによるクレジットカード情報の窃取)、スパムメールの送信、マルウェア自体のアップデート、ルートキットによる隠ぺい |
予防 | Windowsのアップデート、Adobe製品のアップデート、Internet Explorer(IE)でのJavaScript、ActiveXのOFF、Adobe ReaderでのAcrobat JavaScriptのOFF、対応しているウイルス対策ソフトの導入、脆弱性スキャン、サンドボックス機能の利用 | Windowsのアップデート、Adobe製品のアップデート、IEでのJavaScript、ActiveXのOFF、Adobe ReaderでのAcrobat JavaScriptのOFF、対応しているウイルス対策ソフトの導入、JREの最新版へのアップデート、古いバージョンのJREが必要ない場合は明示的なアンインストール、脆弱性スキャン、サンドボックス機能の利用 |
関連記事
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.