ガンブラー攻撃の媒体元とされるサイト改ざんの被害が後を絶ちません。
ガンブラーによるWebサイトの改ざんはFTPのアカウントとパスワードの流出から発生するものが多く、Webサイトオーナーならだれでも感染源になる可能性があるにも関わらず、いまだになんの対策もされていない数は相当数に上るようです。
鉄壁なセキュリティというのは存在しないのかもしれませんが、簡単にできて効果が高い、逆にこれだけはやっておいた方がよい対策を紹介したいと思います。すべてのWebサイトオーナーに実践してほしいです。
ガンブラー(Gumblar)とは
Gumblar(ガンブラー)とは「Webサイト改ざん」と「Web感染型ウイルス(Webサイトを閲覧するだけで感染するウイルス)」を組み合わせて、多数のパソコンをウイルスに感染させようとする攻撃手法(手口)のことである。同攻撃に関連するマルウェアを指す意味でも多用されるが、どの範囲のマルウェアを指すのかはメディアによって様々である。Gumblarによって、国内外でWebサイトの改ざん被害が相次いでいる。[ウィキより抜粋]
ガンブラー攻撃によりウイルスに感染すると自分のパソコンのボットウィルス化(遠隔操作されてしまう)などの可能性があります。
迷惑メールの送信やフィッシング詐欺、DDoS攻撃などの第三者の攻撃への踏み台にされるのです。
さらにWebサイトのオーナーであった場合はサイト改ざんの損害を受けることになります。
サーバとFTP通信を行っていた場合はアカウントとパスワードを盗まれ、htmlや.htaccess、そしてJavaScriptなどを書き換えられてしまいます。
事実上、サイトを乗っ取られてしまい、自分のサイトが表示されなくなったり、スパムサイトにリダイレクトされてしまったりということが起こります。
記憶に新しい犯罪予告の誤認逮捕ですが、あなたのWebサイトにアクセスしてきたはずのユーザー(ECサイトであればお客様)がPC遠隔操作の被害者になるという可能性だってあるのです。
ガンプラーの感染の流れ
従来のガンプラーの感染の流れとしては不正サイトにアクセスさせられたユーザーのパソコンがAdobe Reader/Acrobat/Flash Player/Microsoft OfficeなどのアプリケーションやOSなどの脆弱性をつかれて感染するというものです。
上記のアプリケーションベンダーも常に対応を行っていますが、さまざまな亜種も派生しており、まさにいたちごっこだといえます。
感染経路と対策
Webサイトオーナーの責任としては、まずは自身が「ブラウジング中に感染しない」ことと、「自分のウェブサーバを感染源にしない」という2段構えの対処が必要です。
クライアント(パソコン)側での対策
パソコン側での感染はアプリケーションやOSの微弱性を突かれることが感染の主原因ですので、まずはこの要素を徹底的に排除します。
パソコンは常に最新に保つ
Webサイトオーナーかどうかに関わらず、パソコン側での対策は必須です。お使いのOSは常に最新の状態を保ちます。また、ノートン・ウイルスバスター・マカフィーなどのセキュリティソフトを必ずインストールして、自動更新するようにしましょう。
また、インストール実績の高いAdobeやMicrosoft系のアプリケーションは微弱性を突かれる可能性が高く、常に最新の状態に更新することが必要です。
FTPの制限による対策
FTPのアカウントとパスワードの流出が直接的にサイトの改ざんにつながりますので、FTP環境の見直しは最低限の対策といえます。
非暗号化通信をしない
FTPの通信時にパスワードが漏えいするのは暗号化されないという、FTPの仕組み自体の問題なので、サーバへの接続を暗号化できるFTPSかSFTPを使用します。
まずはFTPそのものを禁止する方法を紹介します。
FTPSやSFTPを使用し、通信が暗号化されないFTPを禁止するというのは有効な手段です。
また、ほとんどのレンタルサーバはブラウザFTPというFFTPなどのクライアントからの接続を使用しないファイルマネージャー的な機能が用意されています。
ウェブ系にあまり強くない場合はこれでこと足りるのであれば、FTP自体を禁止することも検討できます。
すべてのFTPアクセスを禁止するには.ftpaccessに以下を記述します。
<Limit ALL>
DenyAll
</Limit>※とくにWordPressでは、画像のアップロードはもちろんテーマやプラグインのzip形式のインストールもダッシュボードから行えますので、検討の価値はあると思います。
.ftpaccessでFTP制限
FTPを使わざるをえない事情がある場合には接続できる権限を制限します。
.ftpaccessは.htaccessと同じく制限したいフォルダのトップに設置します。
配下すべてにルールが適用されますので、書き込みが許可された最上位のルート階層に置けばよいと思います。
特定のIPのみFTP接続を許可
FTP接続において、自分のIP以外の接続を禁止します。ブラックリスト方式で特定のIPに制限をかけるのではなく、指定IP以外はアクセスできないわけですから、かなり効果的です。
<Limit ALL>
Order Allow,Deny
Allow from ***.***.***.*** # 自身が接続するIPアドレス
Deny from all
</Limit>自分の環境は「固定IPではなく接続IPを指定できないから無理」と思っている方もいるようですが、そんなことはありません。
最近のブロードバンド接続環境ではほとんど接続IPは変わりませんし、万一、IPが変更になった場合は先のファイルマネージャーなどから.ftpaccessを編集できます。
※自身のパソコンがガンプラーに感染した場合は遠隔操作でFTPアクセスすることができる可能性は残りますが、特定の個人を狙うのではない限り、このようなケースは考えにくいといえます。
WordPressでの対策
このガンブラー被害は本来WordPressで構築されているかどうかは関係ありません。
しかし、手軽に導入できる反面、ウェブセキュリティに関する知識が少ない方も見受けられ、結果としてWordPressオーナーの被害も多いように見受けられます。
なお、WordPressユーザーはブルートフォースアタックから管理画面を守ることを合わせてお考える必要があります。
