一昨年に有名になって以来、マルウェアのGumblarによるWebサイトの改ざんが、引き続き重大な脅威の1つとなっています。Webサイトは、企業のいわば顔となるべきもののため、オフィス内でのウイルス感染とはまた違ったインパクトがあります。こういったWebサイトを標的にした脅威とその対策について考えてみましょう。
Gumblarの手口と対策
GumblarはどのようにしてWebサイトを改ざんしたのでしょうか。Gumblar自体は、クライアントPCをターゲットに感染活動を行なうマルウェアです。感染したPCがFTPで通信を行なった場合に、その接続先、ログインIDとパスワードを盗聴し、攻撃者が自由にファイルのアップロードを行なえるようにしてしまうのです。Webサイトの更新にFTPによるファイルのアップロードを使うケースが多いのですが、FTPの通信は暗号化されないため、盗聴されると一巻の終わりです。そうして、Webサイトが改ざんされてしまったのです。
この改ざんされたWebサイトに一般のユーザーがアクセスすると、JavaScriptなどにより攻撃者が用意したマルウェアの配布サイトにリダイレクトされてしまいます。移動先では、Webブラウザの脆弱性を利用した攻撃、偽のアンチウイルスソフトのダウンロードなどのソーシャルエンジニアリングを利用した攻撃がユーザーを待ち受けているのです。
では、Gumblarの被害からWebサイトを守るにはどうすればよいでしょうか。第一には、FTP接続を行なうクライアントのセキュリティアップデートとウイルス対策が考えられます。しかし、Gumblarの亜種の中にはゼロデイを利用するものも多いため、クライアントだけの対策では十分ではありません。
可能であればWebサーバー側で、書き換えそのものを防ぐ対策を行なうとよいでしょう。代表的なソフトとしては、Tripwireという製品があります。また、Linuxに限れば、エフセキュア製品のエフセキュア Linuxセキュリティ フル エディションも役に立ちます。
これらの改ざん防止を実現するソフトウェアは、Webの更新など管理者の意図的なファイル変更を行なったタイミングで、ファイルのハッシュ値、タイムスタンプ、パーミッションなどの情報を取得しておきます。そして、ファイルアクセスがあった場合に、それらの情報が変わっていないかをチェックするのです。攻撃者が改ざんを行なおうとした場合は、そのファイルは以前と比較して、少なくともハッシュ値は変更されるため、改ざんを検出できます。
ただし、こういったソフトウェアを導入した場合、Webコンテンツの更新に際してはファイルのハッシュ値情報も更新する必要がでてきます。Webサイトの管理者とセキュリティ担当者で共同して行なう必要が出てくるなど、運用面での手間は増えることになります。
DoSやDDoS攻撃への対策
最近の事例としてGumblarによるWeb改ざんという脅威を紹介しましたが、Webサイトを運営する上では、古くからある典型的な攻撃手法の「DoS(Denial Of Service)攻撃」と「DDoS攻撃(Distributed Denial Of Service)」についても、対策を検討すべきです。DoS/DDoS攻撃にはいくつかの手段がありますが、代表的なものとしてはSYNフラッド攻撃とスマーフ攻撃と呼ばれるものがあります。
SYNフラッド攻撃は、攻撃元からネットワーク接続を要求するSYNパケットを送信し、Webサーバー(から応答が返ってきたらTCPセッションを確立させたままにして、実際のデータ送受信を行なわずにリソースを消費し続けさせるというものです。
SYNフラッド攻撃に対しては、Webサーバー側でタイムアウトを短く設定し、実際のデータのやり取りが発生していない通信を早めに切るという対策があります。また多くのIPS(Intrusion Prevention System)/IDS(Intrusion Detection System)装置や、WAF(Web Application Firewall)でもSYNフラッド攻撃を検知し、攻撃元を遮断することが可能です。自社のWebサーバーを守りたいのであれば、導入を検討したいところです。
一方のスマーフ攻撃は、ICMPプロトコルを使用し大量の通信を発生させて、リソースや大域を消費させる攻撃です。送信元IPアドレスをWebサーバーのアドレスに偽装し、Webサーバーが所属するネットワークのブロードキャストアドレスにpingなどのICMPコマンドを投げることにより、同じネットワーク内のサーバーから、Webサーバーに一斉に応答を返させるものです。
これには、ファイアウォールでpingそのものを遮断する、あるいはブロードキャスト宛のパケットを遮断するなどの対策が考えられます。Linuxであれば、カーネルの設定(/proc/sys/net/ipv4/icmp_echo_ignore_broadcastsを1にする)でブロードキャストのICMPを受け付けない設定も可能です。
Webサイト対策の困難さ
今回は、GumblarとDoS/DDoS攻撃を取り上げ、Webサイトのセキュリティ対策を紹介しました。ですが、中間者攻撃に対策するための暗号化と証明書の運用やバックアップなど、Webサイト運用にはやるべきことが多くあります。
また、DoS/DDoS攻撃でもいわゆる「F5攻撃」に分類されるような、個々のセッション自体は正常なパケットを大量に送りつける攻撃の場合は、回線そのものの増強や複数サイトでの負荷分散のような対策が必要となってきます。そのため、自前でこれらの対策を行なうよりも、対策を行なっているSaaS、PaaSのクラウドサービスを利用することも検討してはいかがでしょうか。
筆者紹介:富安洋介
エフセキュア株式会社 テクノロジー&サービス部 プロダクトエキスパート
2008年、エフセキュアに入社。主にLinux製品について、パートナーへの技術的支援を担当する。
この連載の記事
-
最終回
TECH
セキュリティの根本はインシデントに備えた体制作りから -
第54回
TECH
マルウェア感染の被害を抑える「転ばぬ先の出口対策」 -
第53回
TECH
マルウェア感染を発見した際の初期対応 -
第52回
TECH
ついに成立したサイバー刑法に懸念点はないか -
第51回
TECH
施行されたサイバー刑法における「ウイルス作成罪」の内容 -
第50回
TECH
サイバー刑法が過去に抱えていた問題点 -
第49回
TECH
ウイルス作者を取り締まるサイバー刑法ができるまで -
第48回
TECH
医療ICTの今後の広がり -
第47回
TECH
重大な情報を扱う医療ICTのセキュリティ対策 -
第46回
TECH
医療ICTの柱「レセプト電算処理システム」の仕組みと問題 -
第45回
TECH
医療分野で普及が進む電子カルテシステムの課題 - この連載の一覧へ