Webブラウザでスクリプトを無効にしても、悪意あるサイトに飛ばされる危険あり!
ラック、JavaScript埋め込まないGumblarを発見
2010年03月05日 06時00分更新
3月3日、ラックはWebサーバー「Apache」の設定を変更することで、アクセスを悪意あるWebサイトに転送する、新しいタイプのガンブラー(Gumblar)を発見したと発表した。
これまでのGumblarは、Webサーバー内のコンテンツ(HTMLファイル)を改ざんしてJavaScriptを埋め込むことで、悪意あるWebサイトへの誘導を行なってきた。このタイプの場合、WebブラウザでJavaScriptを無効にすることで、被害を防ぐことができた。
一方、新タイプのGumblarは、Webサーバーに侵入してApacheの設定ファイル「.htaccess」の不正アップロードを行なう。.htaccessは、コンテンツへのアクセス制限やCGIの許可などを設定したファイルで、Gumblarの.htaccessには悪意あるWebサイトへリダイレクトする設定が記述されている。.htaccessによるリダイレクトはスクリプトを使わないため、JavaScriptを無効にしていても、悪意あるWebサイトにアクセスさせられてしまうわけだ。
ラックによれば、この攻撃を最初に認識したのは3月1日だが、FTP転送のログから、少なくとも2010年1月末頃には攻撃が発生したと推測しているという。
従来のGumblar攻撃と異なるのは、JavaScript無効化だけで防げない点に加え、コンテンツファイル自体は改ざんされないため、コンテンツファイル監視では気がつくことができない点だ。
また、Webサーバー管理者側にとって頭が痛いのは、リダイレクトが有効となるのは検索サイトの結果といったリンクからアクセスしてきた場合であり、ブックマーク(お気に入り)やURLの直接入力でサイトを表示した場合は影響を受けない点だ。そのため、管理者は被害に気がつきにくいという。
ラックによれば、この新型Gumblarへの対策として管理者が行なうべきは、
- 身に覚えのない.htaccessファイルが存在しないかを確認する
- FTP転送ログで.htaccessファイルがアップロードされていないかを確認する
とのこと。FTPのログを調べ、下記のような内容があれば感染している危険がある。
