連載「コンピュータウイルス事件簿・事件で追うウイルス史」

2013/1/28

File:9「2009年:ガンブラー~WEBサイトを改ざん 大手企業も被害」

コンピュータ上のウイルスは、電子計算機の発祥とともに存在し、その数を増やしてきた。ジョーク・広告程度のプログラムから始まったものが、いまや国家安全を脅かす可能性のある悪質なものまで出てきている。驚異的に数を増やし、いまや数億種も存在するウイルス。しかし、その歴史を紐解いていくと、様々なウイルスが過去に生まれた技術の延長線上に存在することもわかる。

 File:9では、WEBサイトを次々と改ざんして回った「ガンブラー」と前後して多発したWEBサイト改ざん攻撃について解説する。

ガンブラー

TYPE
:トロイの木馬/スパイウェア
BIRTH
:2009年
ROUTE
:インターネット
GOAL
:WEBサイト改ざん

流行と感染


 2009年の始め頃から、企業サイトなどのWEBサイトが改ざんされる事案が発生した。年中ごろに一旦集束気味になるものの再び年末にかけて被害は拡大し、JR東日本やローソン、本田技研など大手企業のWEBサイトまで改ざんされる事態にまで進展した。


 この攻撃は「ガンブラー」と命名された。由来は、攻撃者サイトの初期のドメイン名の「gumblar.cn」。日本では、通販サイトの「GENO」が感染源となったためGENOウイルスとも呼ばれるこの攻撃は、攻撃対象のWEBサーバにウイルスを感染させ、サーバ内にあるWEBサイトのデータを改ざんする。そして、その改ざんされたWEBサイトにアクセスするとAdobe Reader、Flash Player、JavaScript、Officeなどの脆弱性を利用して、クライアント側のコンピュータにウイルスを感染させる。


 攻撃コードの埋め込みからWEBサイト改ざんまでの一連のサイバー攻撃を総称してガンブラーと呼ぶ場合と、攻撃コードやダウンロードされるウイルスをガンブラーと呼ぶ場合がある。最初に埋め込まれる攻撃コードに限定して「Troj/Daonol-Fam」「TSPY_KATES」などと呼ばれることもある。マスコミ各社によって表記は異なるが、一般的に説明する文脈ではウイルスの意味で使われる場合が多い。


経緯と対策

 2009年5月19日にはJPCERT/CCからも「JavaScript が埋め込まれる Web サイトの改ざんに関する注意喚起」というタイトルで注意を喚起。 Adobe Flash や Adobe Acrobat、Adobe Readerなどの脆弱性喚起と、FTPアカウント情報の盗難、WEBサイトを改ざんの可能性を指摘している。


 改ざんとはいっても、ガンブラーによるWEBサイト改ざんは、ブラウザ上での見た目が変化するわけではない。攻撃的なコードが埋め込まれていることは、初期の段階においては、ページのソースを表示して確認する以外の方法がなかった。そのために管理者側から気づけばよいが、実際にはそれは難しく、結果として改ざんされている状況が放置されたため、被害が拡大した。しかも実際に改ざんされたのは、本物の大手企業サイトであるため、訪問側も改ざんの事実に気がつきにくかった。


 被害の報告もある。まずはWEBサイトが攻撃された企業は修正のためにWEBサイトを閉鎖することとなり、企業活動などに支障がでるという実利的な被害が出るほか、企業の信用問題にもなった。さらにガンブラーから、偽のウイルス対策ソフトのダウンロードサイトへ誘導されるなど、被害はウイルスの動き以上に広がっていったと言える。2009年中ごろ~末にかけては亜種も出回り、2010年に入っても続く。


 対策としては最新パッチを当てることで脆弱性を突かれないようにするなど通常の対策ほか、FTPを通信する際の暗号化を進めるなどパスワード・アカウントの管理体制の強化、自社サイトの点検ならびに改ざんが第3者に発見された場合に対応する体制を整えるなどが考えられた。しかし、決定的な対策とはならず、数年にわたって被害がくすぶり続けた。


流行する「WEBサイト改ざん攻撃」とサイバー攻撃の政治利用

 サーバに侵入し、WEBサイトを改ざん。さらに改ざんしたWEBサイトを閲覧したPCに感染するという攻撃方法はFile:7 Nimdaで使われた方法である。一方で当時、サーバへ侵入するための手段としては、SQLインジェクションが流行していた中で、アカウントとパスワードの盗難による侵入という方法を取っていた。WEBサイトを改ざんする攻撃はこちらが主流で2005年にはすでにその被害が出ている。

ほかにも政治的な意図を含む無数の改ざん例がある
ほかにも政治的な意図を含む無数の改ざん例がある

 ガンブラーの被害は亜種などの流行により、翌年の2010年まで続いたが、同年9月16日に日本の領土である尖閣諸島に対して中国が領有権を主張した件で、次々とWEBサイトが改ざんされている。中国のハッカーによる攻撃は、すでに2008年に靖国神社、2009年のガンブラーが隆盛を誇っている中、国交省など、公的な機関に対して行われていた。ガンブラーのようにWEBサイトを改ざんする攻撃は、政治的な意図を含む場合もあった。とりわけ2010年は、政治的な懸念材料があったこともあり、脚光を浴びた。2011年、2012年にもWEBサイト改ざんは政治的な意図で使われている。


 ガンブラーによる被害も、中国のハッカーによる改ざんも「WEBサイト改ざん」という手口の社会的な影響の大きさを知らしめるには十分すぎる事件性があった。2009年頃といえば、TwitterやmixiなどのSNSが隆盛し出し、一般的な層からさらによりライトな層までインターネットを使うようになった時代。インターネットの影響力、情報がどの程度の速度・層まで広がっていくかというリーチはすでにテレビなどのマスメディアと同等になってきたとさえ言われ始めた頃だ。


 2000年のe-Japan計画よりITを意欲的に国としても進めてきたが、2005年からは「情報セキュリティ基本計画」を推進。2009年から進められた「第2次情報セキュリティ基本計画」ではかなり具体的な情報セキュリティ対策の内容が出て、インターネットの普及だけではなく安全性の確保にも力を入れ始めていることが伺える。インフラとして普及したこの時期、ウイルスの性能がWEBサイト改ざんなどのサイバー攻撃を用いることで、政治的にも利用できてしまう問題を抱えた証左だろう。

(井上宇紀)

>>File:10(最終回)「2010年:スタックスネット」


【関連カテゴリ】

情報セキュリティ