ガンブラー攻撃の媒体元とされるサイト改ざんの被害が後を絶ちません。
ガンブラーによる Web サイトの改ざんは FTP のアカウントとパスワードの流出から発生するものが多く、 Web サイトオーナーならだれでも感染源になる可能性があるにも関わらず、いまだになんの対策もされていない数は相当数に上るようです。
鉄壁なセキュリティというのは存在しないのかもしれませんが、簡単にできて効果が高い、逆にこれだけはやっておいた方がよい対策を紹介したいと思います。すべての Web サイトオーナーに実践してほしいです。
ガンブラー(Gumblar)とは
Gumblar(ガンブラー)とは「 Web サイト改ざん」と「 Web 感染型ウイルス(Web サイトを閲覧するだけで感染するウイルス)」を組み合わせて、多数のパソコンをウイルスに感染させようとする攻撃手法(手口)のことである。同攻撃に関連するマルウェアを指す意味でも多用されるが、どの範囲のマルウェアを指すのかはメディアによって様々である。 Gumblar によって、国内外で Web サイトの改ざん被害が相次いでいる。[ウィキより抜粋]
ガンブラー攻撃によりウイルスに感染すると自分のパソコンのボットウィルス化(遠隔操作されてしまう)などの可能性があります。
迷惑メールの送信やフィッシング詐欺、DDoS攻撃などの第三者の攻撃への踏み台にされるのです。
さらに Web サイトのオーナーであった場合はサイト改ざんの損害を受けることになります。
サーバーと FTP 通信を行っていた場合はアカウントとパスワードを盗まれ、html
や.htaccess
、そしてJavaScript
などを書き換えられてしまいます。
事実上、サイトを乗っ取られてしまい、自分のサイトが表示されなくなったり、スパムサイトにリダイレクトされてしまったりということが起こります。
記憶に新しい犯罪予告の誤認逮捕ですが、あなたの Web サイトにアクセスしてきたはずのユーザー(EC サイトであればお客様)がPC遠隔操作の被害者になるという可能性だってあるのです。
ガンプラーの感染の流れ
従来のガンプラーの感染の流れとしては不正サイトにアクセスさせられたユーザーのパソコンが Adobe Reader/Acrobat/Flash Player/Microsoft Office などのアプリケーションや OS などの脆弱性をつかれて感染するというものです。
上記のアプリケーションベンダーも常に対応を行っていますが、さまざまな亜種も派生しており、まさにいたちごっこだといえます。
感染経路と対策
Web サイトオーナーの責任としては、まずは自身が「ブラウジング中に感染しない」ことと、「自分のウェブサーバーを感染源にしない」という2段構えの対処が必要です。
クライアント(パソコン)側での対策
パソコン側での感染はアプリケーションや OS の微弱性を突かれることが感染の主原因ですので、まずはこの要素を徹底的に排除します。
パソコンは常に最新に保つ
Web サイトオーナーかどうかに関わらず、パソコン側での対策は必須です。お使いの OS は常に最新の状態を保ちます。また、ノートン・ウイルスバスター・マカフィーなどのセキュリティソフトを必ずインストールして、自動更新するようにしましょう。
また、インストール実績の高い Adobe や Microsoft 系のアプリケーションは微弱性を突かれる可能性が高く、常に最新の状態に更新することが必要です。
FTP の制限による対策
FTP のアカウントとパスワードの流出が直接的にサイトの改ざんにつながりますので、 FTP 環境の見直しは最低限の対策といえます。
非暗号化通信をしない
FTP の通信時にパスワードが漏えいするのは暗号化されないという、 FTP の仕組み自体の問題なので、サーバーへの接続を暗号化できるFTPSかSFTPを使用します。
まずは FTP そのものを禁止する方法を紹介します。
FTPS や SFTP を使用し、通信が暗号化されない FTP を禁止するというのは有効な手段です。
また、ほとんどのレンタルサーバーはブラウザ FTP という FFTP などのクライアントからの接続を使用しないファイルマネージャー的な機能が用意されています。
ウェブ系にあまり強くない場合はこれでこと足りるのであれば、 FTP 自体を禁止することも検討できます。
すべての FTP アクセスを禁止するには.ftpaccess
に以下を記述します。
<Limit ALL>
DenyAll
</Limit>
※とくに WordPress では、画像のアップロードはもちろんテーマやプラグインの zip 形式のインストールもダッシュボードから行えますので、検討の価値はあると思います。
.ftpaccess で FTP 制限
FTP を使わざるをえない事情がある場合には接続できる権限を制限します。
.ftpaccess
は.htaccess
と同じく制限したいフォルダのトップに設置します。
配下すべてにルールが適用されますので、書き込みが許可された最上位のルート階層に置けばよいと思います。
特定の IP のみ FTP 接続を許可
FTP 接続において、自分の IP 以外の接続を禁止します。ブラックリスト方式で特定の IP に制限をかけるのではなく、指定 IP 以外はアクセスできないわけですから、かなり効果的です。
<Limit ALL>
Order Allow,Deny
Allow from ***.***.***.*** # 自身が接続する IP アドレス
Deny from all
</Limit>
自分の環境は「固定 IP ではなく接続 IP を指定できないから無理」と思っている方もいるようですが、そんなことはありません。
最近のブロードバンド接続環境ではほとんど接続 IP は変わりませんし、万一、 IP が変更になった場合は先のファイルマネージャーなどから.ftpaccess
を編集できます。
※自身のパソコンがガンプラーに感染した場合は遠隔操作で FTP アクセスすることができる可能性は残りますが、特定の個人を狙うのではない限り、このようなケースは考えにくいといえます。
WordPress での対策
このガンブラー被害は本来 WordPress で構築されているかどうかは関係ありません。
しかし、手軽に導入できる反面、ウェブセキュリティに関する知識が少ない方も見受けられ、結果として WordPress オーナーの被害も多いように見受けられます。
なお、 WordPress ユーザーはブルートフォースアタックから管理画面を守ることを合わせてお考える必要があります。