今年の4月から5月にかけて、あらかじめ盗まれたFTPアカウントを悪用した、Webサイトのコンテンツ改ざん事件が相次ぎました。この改ざんされたコンテンツは、第三者がアクセスしただけでマルウェア感染を引き起こし、さらには、感染したマルウェアによって、個人情報やID・パスワード等の情報が盗まれるという事態に発展しています＊1。

今回の事件の流れ

はじめに、今回の事件の流れを図-1に示します。以下、本説明中の数字は図内-1の数字に相当します。

図-1 攻撃の全体像

コンテンツ改ざんからマルウェア感染まで

まず、攻撃者はあらかじめ盗んだFTPアカウントを悪用し、Webコンテンツを改ざんします（1）。第三者が改ざんされたWebコンテンツにアクセスした場合（2）、改ざんによって挿入されたJavaScript等により、自動的に悪意のあるWebサイトへ誘導されます（3）。このスクリプトにより、Adobe ReaderやFlash Playerの脆弱性を悪用する、攻撃用のファイルがダウンロードされます。利用者のPCにこれらの脆弱性が存在する場合、ファイル内の攻撃コードが実行され、マルウェアAがダウンロードされます（4）。

マルウェアの動作

マルウェアAは実行されると、マルウェアBを生成（Drop）し、レジストリに登録した上で、自分自身を削除します（5）。マルウェアBは実行されると、いくつかのAPIをフックし、HTTPやFTP等の通信を盗聴します。また、感染を発見されにくくするために、cmd.exeやregedit.exeを起動できなくします。さらに、別のマルウェア配布サイトにアクセスし、新しいマルウェアをダウンロードして実行する場合もあります（6）。

情報のアップロードから悪用まで

マルウェアB、もしくは更新された新しいマルウェアは、通信の盗聴や設定ファイル等から盗み出した情報を、外部のサーバにアップロードします（6）。この情報には、個人情報や実際の通信に利用したID・パスワード等の情報が含まれます。また、活動の痕跡となるファイルを削除したり、PC上のOSやデータを破壊したりします（7）。このようにして盗み出された情報は、再びコンテンツ改ざんに悪用され、新たにマルウェア感染に誘導するWebサイトが増えていきます（8）。そして、情報を盗むこととその悪用を、循環的に繰り返すことで拡大し、最終的に多くの利用者が被害を受けていると考えられています。加えて、盗み出した情報は、他人に成りすますために悪用されたり、商品購入等で直接の金銭被害を引き起こしたりしています（9）＊2。

Gumblarの特徴

まずGumblarでは、個人のブログ等、比較的参照する人の少ない小規模なサイトに対して改ざん行為が行われていたため、発見が遅れていました。今回の件が大きな事件として取り上げられるようになったのは、ある企業のオンラインショップのコンテンツが改ざんされ、多くの被害が出たことによります。

また、Gumblarには複数のWebサイトや脆弱性、マルウェアが関係していることも特徴として挙げられます。特に悪用されたマルウェアが、シーケンシャルマルウェア＊3であったことで、発見や解析、対策が困難となっていました。

加えて、マルウェアにより盗み出された情報が、ある程度時間が経過してから悪用されていることも挙げられます。このため、ユーザが改ざんに気づいた時点でウイルス対策ソフトによる検査を行っても、マルウェア自身や痕跡が削除されており、PC上からは異常が発見されにくいケースが目立ちました。

Gumblarについては、現時点で関係した複数のマルウェア配布サイトが停止され、関係するマルウェアもウイルス対策ソフトで検出可能となっているため、すでに過去の事件として考えられています。しかし、一旦感染したユーザの情報は盗まれたままであることを忘れてはいけません。新たなマルウェア配布サーバを用意するだけで、今回と同様の循環を構築することができ、実際に現在でも他のWebサイトやマルウェアを利用した、同様の事件が継続的に起こり続けています＊4。

利用者における注意点

この問題に対して、利用者として注意すべき事項は、利用しているPCにインストールされているソフトウェアの脆弱性情報に注意し、常に最新版を利用するように心がけることです。自動更新機能を持っていないソフトウェアや、特にブラウザのプラグインとして提供されているソフトウェア（今回の事例で悪用されたようなAdobe ReaderやFlash Player）は、今後も悪用の対象となる可能性があるため、注意が必要です。もし自分が感染したことに気付いた場合には、その端末上で入力したことのあるすべてのIDとパスワードを変更する必要があります。また、日ごろからIDとパスワードの管理を適切に行うことも重要となってきます＊5。

＊1 US-CERT Current Activity:Gumblar Malware Exploit Circulating
（http://www.us-cert.gov/current/archive/2009/05/18/archive.html#gumblar_malware_attack_circulating）
Gumblarとはマルウェア配布Webサイトのドメイン名の一部です。実際に、gumblar.cnにアクセスすると感染が発生していました。同様なWebサイトにzlkon.lv, martuz.cnなどがありましたが、この事件は複雑で全体を示す適切な名前がないため、本稿では関係するWebサイトやマルウェア等、全体を示す名前としてGumblarと呼んでいます。

＊2 以上のマルウェアの動作は、IIJで入手した検体を解析したうえで再現したものです。マルウェアAやマルウェアBとして、他の多くのマルウェアが介在することを示す情報もあり、必ずしも毎回この通りとは限りません。

＊3 シーケンシャルマルウェアとは、マルウェアを機能ごとに分割し、必要時に個別にダウンロードして実行していく仕組みで、ウイルス対策ソフトをすり抜けるための手段として使われます。本事件では、リダイレクタ（javascriptマルウェア）、ダウンローダ（PDFマルウェア、マルウェアB）、ドロッパ（マルウェアA）、アカウント盗用マルウェア（マルウェアB）などが利用されており、全体で１つのシーケンシャルマルウェアを構成していると考えることができます。

＊4 たとえば Nine-Ball等。以下は改ざんの様子を示します。
cNotes（http://jvnrss.ise.chuo-u.ac.jp/csn/index.cgi?p=molo.tw）。
１０月中旬以降、再び多くのWebコンテンツが改ざんされ、マルウェア感染に誘導されることが発見されています。
以下はJPCERT/CCによる注意喚起です。
(http://www.jpcert.or.jp/at/2009/at090023.txt)　

＊5 パスワード管理手法の関連資料については、IIR vol.3で紹介しています。
（http://www.iij.ad.jp/development/iir/pdf/iir_vol03.pdf）。
その他の対策については、独立行政法人情報処理推進機構による今月の呼びかけ「 あなたのウェブサイト、改ざんされていませんか？ 」
（http://www.ipa.go.jp/security/txt/2009/07outline.html）等も参考になります。

著者