このページの本文へ

週刊セキュリティレポート 第11回

DoSやDDoS攻撃への備えも忘れずに

Gumblarに負けない!Webサイトのセキュリティ対策

2011年08月29日 06時00分更新

文● 富安洋介/エフセキュア

  • この記事をはてなブックマークに追加
  • 本文印刷

 一昨年に有名になって以来、マルウェアのGumblarによるWebサイトの改ざんが、引き続き重大な脅威の1つとなっています。Webサイトは、企業のいわば顔となるべきもののため、オフィス内でのウイルス感染とはまた違ったインパクトがあります。こういったWebサイトを標的にした脅威とその対策について考えてみましょう。

Gumblarの手口と対策

 GumblarはどのようにしてWebサイトを改ざんしたのでしょうか。Gumblar自体は、クライアントPCをターゲットに感染活動を行なうマルウェアです。感染したPCがFTPで通信を行なった場合に、その接続先、ログインIDとパスワードを盗聴し、攻撃者が自由にファイルのアップロードを行なえるようにしてしまうのです。Webサイトの更新にFTPによるファイルのアップロードを使うケースが多いのですが、FTPの通信は暗号化されないため、盗聴されると一巻の終わりです。そうして、Webサイトが改ざんされてしまったのです。

 この改ざんされたWebサイトに一般のユーザーがアクセスすると、JavaScriptなどにより攻撃者が用意したマルウェアの配布サイトにリダイレクトされてしまいます。移動先では、Webブラウザの脆弱性を利用した攻撃、偽のアンチウイルスソフトのダウンロードなどのソーシャルエンジニアリングを利用した攻撃がユーザーを待ち受けているのです。

GumblarによるWebサイト改ざんの仕組み

 では、Gumblarの被害からWebサイトを守るにはどうすればよいでしょうか。第一には、FTP接続を行なうクライアントのセキュリティアップデートとウイルス対策が考えられます。しかし、Gumblarの亜種の中にはゼロデイを利用するものも多いため、クライアントだけの対策では十分ではありません。

 可能であればWebサーバー側で、書き換えそのものを防ぐ対策を行なうとよいでしょう。代表的なソフトとしては、Tripwireという製品があります。また、Linuxに限れば、エフセキュア製品のエフセキュア Linuxセキュリティ フル エディションも役に立ちます。

 これらの改ざん防止を実現するソフトウェアは、Webの更新など管理者の意図的なファイル変更を行なったタイミングで、ファイルのハッシュ値、タイムスタンプ、パーミッションなどの情報を取得しておきます。そして、ファイルアクセスがあった場合に、それらの情報が変わっていないかをチェックするのです。攻撃者が改ざんを行なおうとした場合は、そのファイルは以前と比較して、少なくともハッシュ値は変更されるため、改ざんを検出できます。

 ただし、こういったソフトウェアを導入した場合、Webコンテンツの更新に際してはファイルのハッシュ値情報も更新する必要がでてきます。Webサイトの管理者とセキュリティ担当者で共同して行なう必要が出てくるなど、運用面での手間は増えることになります。

一般的な改ざん防止ソフトウェアの仕組み

DoSやDDoS攻撃への対策

 最近の事例としてGumblarによるWeb改ざんという脅威を紹介しましたが、Webサイトを運営する上では、古くからある典型的な攻撃手法の「DoS(Denial Of Service)攻撃」と「DDoS攻撃(Distributed Denial Of Service)」についても、対策を検討すべきです。DoS/DDoS攻撃にはいくつかの手段がありますが、代表的なものとしてはSYNフラッド攻撃とスマーフ攻撃と呼ばれるものがあります。

 SYNフラッド攻撃は、攻撃元からネットワーク接続を要求するSYNパケットを送信し、Webサーバー(から応答が返ってきたらTCPセッションを確立させたままにして、実際のデータ送受信を行なわずにリソースを消費し続けさせるというものです。

 SYNフラッド攻撃に対しては、Webサーバー側でタイムアウトを短く設定し、実際のデータのやり取りが発生していない通信を早めに切るという対策があります。また多くのIPS(Intrusion Prevention System)/IDS(Intrusion Detection System)装置や、WAF(Web Application Firewall)でもSYNフラッド攻撃を検知し、攻撃元を遮断することが可能です。自社のWebサーバーを守りたいのであれば、導入を検討したいところです。

SYNフラッド攻撃の概要。一般的には攻撃者は複数で分散される

 一方のスマーフ攻撃は、ICMPプロトコルを使用し大量の通信を発生させて、リソースや大域を消費させる攻撃です。送信元IPアドレスをWebサーバーのアドレスに偽装し、Webサーバーが所属するネットワークのブロードキャストアドレスにpingなどのICMPコマンドを投げることにより、同じネットワーク内のサーバーから、Webサーバーに一斉に応答を返させるものです。

 これには、ファイアウォールでpingそのものを遮断する、あるいはブロードキャスト宛のパケットを遮断するなどの対策が考えられます。Linuxであれば、カーネルの設定(/proc/sys/net/ipv4/icmp_echo_ignore_broadcastsを1にする)でブロードキャストのICMPを受け付けない設定も可能です。

スマーフ攻撃の処理とは

Webサイト対策の困難さ

 今回は、GumblarとDoS/DDoS攻撃を取り上げ、Webサイトのセキュリティ対策を紹介しました。ですが、中間者攻撃に対策するための暗号化と証明書の運用やバックアップなど、Webサイト運用にはやるべきことが多くあります。

 また、DoS/DDoS攻撃でもいわゆる「F5攻撃」に分類されるような、個々のセッション自体は正常なパケットを大量に送りつける攻撃の場合は、回線そのものの増強や複数サイトでの負荷分散のような対策が必要となってきます。そのため、自前でこれらの対策を行なうよりも、対策を行なっているSaaS、PaaSのクラウドサービスを利用することも検討してはいかがでしょうか。

筆者紹介:富安洋介

エフセキュア株式会社 テクノロジー&サービス部 プロダクトエキスパート
2008年、エフセキュアに入社。主にLinux製品について、パートナーへの技術的支援を担当する。


カテゴリートップへ

この連載の記事
ピックアップ