ガンブラー(Gumblar)と聞いてみなさんは何を思い浮かべるでしょうか?
ガンブラー攻撃とは、簡単に言えばWebサイトの訪問者をマルウェア感染させる攻撃手法です。2009年頃から発見され始め、最近ではほとんど被害報告がなく過去のサイバー攻撃となっています。
しかし、過去のサイバー攻撃でも、その攻撃の仕組みと対策を知ることは、サイバー攻撃対策を考える上で非常に参考になります。この記事では、ガンブラー攻撃について解説します。
このマルウェア感染をもたらすWebサイトが、被害者であり加害者でもあるということがガンブラー攻撃の大きな特徴です。また、悪質なWebサイトが訪問者をマルウェア感染させてしまうのではなく、正規のWebサイトがサイバー攻撃によって訪問者をマルウェア感染させる可能性があることもその特徴として挙げられます。
企業や店舗のホームページがガンプラー攻撃を受けた場合「あのお店のホームページは利用者をマルウェア感染させる」といった悪評が立つ恐れがあります。それは情報流出などのサイバー攻撃同様に大きなダメージをもたらすことでしょう。
また、利用者としては悪質なWebサイトを訪れたわけではなくに、改ざんされたWebサイトとは気がつかずにマルウェア感染してしまいます。このようなことが起きると安心してインターネットを利用することができなくなる上、家族や会社から「不審なWebサイトにアクセスしたんじゃないか」などと心外な勘繰りをされる恐れもあります。
この攻撃の問題はマルウェアそのものではなく、Webサイトの訪問者をマルウェア感染させる悪意のあるWebサイトへと誘導することにあります。これまでマルウェア感染といえばアダルトサイトなど明らかに危険性の高いWebサイトへのアクセスにより被害にあうことが多いようでした。しかしこのガンブラー攻撃によって、一見何の問題もなさそうな正規のWebサイトへの訪問がきっかけとなりマルウェア感染するリスクが生じています。
では、ガンブラー攻撃ではどういった手順が踏まれるのでしょうか。基本的には攻撃者が攻撃対象のWebサイト管理用IDとパスワード(FTPアカウント情報)を盗むことからはじまります。盗んだアカウントを利用してWebサーバに不正に侵入し、標的としたWebサイトのプログラムを改ざんします。
改ざんによりWebサイトの訪問者は偽のWebサイトに誘導されてマルウェア感染します。
このガンブラー攻撃ではマルウェア感染により情報の流出やサーバーの停止といった深刻な被害がもたらされることが多く、利用者はもちろん、個人情報の流出により直接関係がない人にまで被害が及ぶ可能性もあります。
こうした仕組みから個人が被害を受けやすい印象もありますが、実際には企業が大きな被害を受けたケースもあります。業務利用しているパソコンがガンブラー攻撃によってマルウェア感染したことで、社内ネットワーク全体に被害が拡大したような事例もあります。
このようなサイバー攻撃の対策方法は、水際作戦としては、Webサイト管理者のパソコンのマルウェア感染を防ぐことを第一に考える必要があります。ウイルス対策ソフトを導入し、常に最新のウィルス定義ファイルに更新する必要があります。
また、ウイルス定義ファイルは自動更新されるよう設定することも対策として有効です。このウイルス定義ファイルが更新されていない状態である場合、マルウェアが侵入しても検知されない可能性があるからです。
ほかの対策方法としては、サーバへのファイルアップロード時は通信を暗号化するSFTPやFTPS接続を行うこと、パスワード認証を強化するためにSCP対応のクライアントを利用することなどが挙げられます。費用の問題を考慮したうえでこのような対策の導入を検討することは有効なのではないでしょうか。
では実際にガンブラー攻撃によってウイルス感染した場合にはどうすればよいのでしょうか?最新のウィルス定義ファイルに更新されたウイルス対策ソフトを利用してマルウェアを早急に駆除することと合わせてデータの復旧を速やかに行いましょう。社内ネットワーク上でのマルウェア感染が疑われる場合には、感染拡大を最小限に留めるためにも、マルウェア感染の疑いがあるパソコンを社内ネットワークから切り離す必要があります。
一方、Webサイトがサイバー攻撃によって改ざんされた場合には早急にWebサイトの公開を停止しましょう。そうすることによりWebサイト訪問者へのマルウェア感染拡大を防ぐことができます。
ガンプラー攻撃では攻撃対象Webサイトの管理用IDとパスワード(FTPアカウント情報)を不正入手されたうえでWebサイトを改ざんされるので、FTPアカウントのパスワード変更などを行い、Webサイトへの不正アクセスを防ぐようにしましょう。
パスワード変更後も不正アクセスが継続する場合にはスパイウェアなどのマルウェア感染によってパスワード情報の漏洩が起きている可能性があります。再度マルウェアの駆除を行い、状況に応じてパソコンの初期化やFTPアカウントのパスワード再設定を行いましょう。
ガンプラー攻撃について特に注意すべき点は、すでに説明したように、不審なWebサイトでなくても訪問者をマルウェア感染させる可能性があるという点です。過去に有名企業のホームページが攻撃を受けたケースもあり、「不審なWebサイトにはアクセスしない」というリスク回避の手法が通用しません。
さらにガンブラー攻撃では、攻撃者が誘導先として用意した悪意のある偽のWebサイトにどのようなマルウェアを仕掛けたかによってどのようなマルウェアに感染するかが決まります。そのため特定のマルウェアに事前に備えるというような対策も通用しません。
Webサイトを運営している場合にはサイバー攻撃を受けないよう対策を行い、また、インターネットに接続している情報端末はマルウェア感染しないよう適切な対策を行う必要があります。
そして、サイバー攻撃を受けたと判明したWebサイトは速やかに公開を停止しましょう。過去には被害が発覚したにも関わらずWebサイトを停止しなかったため、マルウェア感染の被害を拡大させてしまったケースもあります。
ガンブラー攻撃にはこのような特徴があるため、完全に被害を回避することは難しいという特徴があります。ですからなるべく攻撃に遭わないように対策することはもちろん、被害を受けた際にどれだけ迅速かつ適切な対応を行うことができるかが問われます。
企業ホームページの場合、攻撃を受けた際に適切な対応をとらなかったことでブランドイメージや信用に深刻なダメージを受ける可能性があります。また、社内ネットワークにマルウェア感染が拡大してた場合には復旧まで数か月を要するなどの可能性もあります。
ガンブラー攻撃の被害は減少傾向にあり、最近ではあまり被害事例がないですが、こうしたサイバー攻撃を受けると企業の評判を棄損するなどのお金では換算できない被害となることもあります。サイバー攻撃に対する備えと攻撃を受けた際の対応が何よりも重要ということを忘れないようにしましょう。もしパソコンや運用しているWebサイトに少しでもセキュリティ面で不安を感じているのであれば、改めてセキュリティ対策を見直してみてはいかがでしょうか。
サイバー攻撃対策の一つとして、Webサイトの改ざん検知機能も備えたクラウド型WAF「攻撃遮断くん」は有効です。その他のWebセキュリティ対策とともに多層的に対策を講じることで、ガンブラー攻撃だけではない、さまざまなサイバー攻撃からWebサイト/サービスを守りましょう。
サイバーセキュリティクラウドが提供する「攻撃遮断くん」はWebサイト・Webサーバへのサイバー攻撃を可視化し、遮断するセキュリティサービスです。
(2020/06/10 執筆、2021/06/10 修正)
この記事と一緒に読まれています
2020.02.19
セキュリティ対策
クロスサイトスクリプティング(XSS)のセキュリティ対策とは?
2019.09.08
セキュリティ対策
2020.03.07
用語集
CSRF(クロスサイトリクエストフォージェリ)とは?被害と対策も
2022.01.06
セキュリティ対策
2022.01.22
セキュリティ対策
2020.01.30
セキュリティ対策