calendar

S M T W T F S
   1234
567891011
12131415161718
19202122232425
2627282930  
<< April 2020 >>

categories

archives

楽天

amazon

This site may harm your computer の衝撃

0
    JUGEMテーマ:パソコン
    MalwareWarnig2


     最近話題になっているホームページの被害で、マルウェア感染があります。
     今回、ホームページがが感染したとの事で該当ホームページの復旧修復のご依頼がありましたので、その対処法などをレポートしたいと思います。
    ※お客様の個人情報などは一切記載できませんので、具体的な内容は一部割愛させていただきます事をあらかじめご了承下さい。

     さて、自分の運営しているホームページだけでなく、様々なホームページを Google で検索調べてみたとき、サイト改竄の警告が出ていて驚いた人もいると思います。
     Googleの場合は検索結果でリストアップされているホームページタイトルのすぐ下に「このサイトはコンピュータに損害を与える可能性があります。」と表示されます。
    ※下記の該当ホームページ名で Yahoo! 検索すると・・・、警告が出ませんね・・・。

    MalwareWarnig3c
    Google検索で、プレビュー表示を有効にした状態での画面。真ん中のサイトがマルウェア感染している。

     今回のこのサンプル画像は、私が修復したホームページではありません。
     私が修復したホームページは、既に直ってしまっていて「Malware Warning!」の検索結果画像をキャプチャーし忘れてたためキャプチャできる素材を探しました。

     今回改めて上記の「Malware Warning! This site may harm your computer.」の画面が欲しくていろいろ探してみましたが、実際にマルウェア被害のホームページを探すと、なかなか見つからなくて非常に困りました。
     上記のキャプチャー画面は、当社とまったく関係ないサイトの検索結果です。

     今回のマルウェアのサイト感染に関しては、日本でも爆発的に広まっているため、既に様々な情報が出回っております。
     先日、シマンテックは自社の説明会でこのウィルスを「Gumblar」と命名し、説明会を行っています。
    まさに手練の賭け師!Gumblarウイルスの実態を暴く (ASCII.jp)
    「Gumblarウイルス」にも多層防御は有効、シマンテックが解説 (Internet Watch)

     このウイルスは通俗でGENOウィルスと呼ばれています。
     詳細は、GENOウィルスまとめWiki を見ていただくことで分かりますが、いくつかニュースサイトでも取り上げられています。
    いわゆる“GENOウイルス”が猛威、G DATAがその挙動を解説 (Internet Watch)
    GENOウイルスに同人サイト連鎖感染 拡大防止へ協力の輪広がる (IT Media)

     GENOウィルスという名前自体は通称で、初期の頃は「JSRedir-R」と呼ばれていたようです。
    ますます巧妙化するJSRedir-Rの攻撃手法 (IT Media)

     さてリンクはほどほどにして、今回の現象を簡単にまとめて見ましょう。



    ■Gumblar ウィルスの感染の流れ

     シマンテックの解説によると以下のような感染の流れになるようです。
    1.マルウェアの仕込まれたホームページを閲覧する→感染
    2.感染したパソコンで、FTPサーバーにアクセスする→FTPパスワード漏洩
    3.作成しているホームページにマルウェア(Script)が仕込まれる

     感染する原因として挙げられているのが、Adobe Flash Player の脆弱性と、Adobe Reader の脆弱性です。
     この二つを最新の状態にしていないことで、感染する可能性が非常に高いとのこと。
     また、ウィルス対策ソフトをインストールしていないと、当然駆除できません。

     上記の1〜3の流れで感染は次々と拡大します。
     感染した状態でFTPサーバーへアクセスを行うと、FTPサーバーへのパスワードが漏洩するのが今回の「Gumblar」ウィルスの最大の特徴というわけです。
     逆に言えば、FTPサーバーへアクセスをしていない人は、他人に悪い影響を与えないともいえます。一見すると、ですが。

     現在のところ、サイト改竄によるマルウェア拡大が非常に問題視されていますが、これはFTPサーバーのパスワードが漏洩したことから起こっています。
     しかし現在のところ、実害として目に見えているホームページ訪問者への被害は、サイト改竄によっておかしなサイトへの誘導されるという現象だけになっています。
     見えない部分として考えると、FTPサーバーへのアクセスによるFTPサーバー内部の情報漏えいですが、今回の仕事の依頼で実際にお客様が使用しているレンタルサーバーのログを見せてもらった限りでは、HTML ファイルの改竄だけで、他のファイルのダウンロードは行われていませんでした。

     もちろん、ウィルス被害のサイト全部を調べたわけではありませんので、サイトによってはデータを根こそぎ持っていかれている人もいるのかもしれません。


    ■サイト改竄が判明してすぐ行うべき3つの手順

    1.FTPパスワードの変更
    2.サイト上の該当スクリプトの削除
    3.検索サイトへの再調査の依頼

    1.FTPパスワードの変更
     当然ですが、既に漏洩しているFTPのパスワードを使い続けてはだめです。
     パスワードの変更方法が意外と知らない人も多いですが、最近は通常、自分でパスワード変更は可能です。自分が使用しているレンタルサーバーのFAQなどを確認して、すぐさまFTPパスワードを変更しましょう。

    2.サイトの該当スクリプトの削除
     今回の Gumblar ウィルスの場合、HTMLファイルにおかしなスクリプトを追加します。

    Gumblerのスクリプトサンプル
     該当スクリプト部分は [ script ] → [ s c r i p t ] とスペースを入れてます。

     このサンプルのようなマルウェア部分のスクリプトを丸ごと削除します。
     また、FTPサイトを確認して、HTMLファイルが改竄されている日付を確認します。
     そして、改竄された同じ日付のファイルを確認しますが、場合によっては、不明なファイルが改竄された同じ日に作られている場合があります。
     実際にサイト改竄された同時刻に、不明なファイルがいくつか作られているのを確認しています(HTMLファイル内部への script 追加ではなく、新規不明ファイルのことです)。
     そのファイルがまったく不要なファイルの場合は、当然削除します。

    3.検索サイトへの再調査の依頼
     Googleなどの検索サイトの場合、再度検索結果に反映されるまでに時間がかかる場合があります。
     Googleには、ウェブマスターツールという機能があり、こちらにサイトの登録を行うと、サイトの再調査が依頼出来ます。
     検索サイトにいつまでも「Malware Warning!」と表示されているのはとても恥ずかしいものです。
     すぐにでも修正してもらうよう依頼しましょう。


    ■ウィルスソフト、驚愕の事実(?)

     今回の件でとても驚いたことがありました。
     現在広く出回って有名なこの Gumblar ウィルスですが、5月29日現在、あるウィルスソフトがまったくこのGumblarウィルスを検出しなかったのです。

     とはいえ、ちょっと設定の問題もあったので、そのウィルスソフトの名称はここではあげないようにします。
     実際「システムの保護」を無効にしていたため、それが原因とも考えられますが、時間の都合もあり「システムの保護」を再設定して検出できるかの検証はしていません。

     当社のパソコンは Gumblar ウィルスに感染していなかったのですが、以前トラブル解決時に該当スクリプトの入ったファイルをFTPソフトでダウンロードしたことがありました。
     しかしダウンロード時に、自動的にそのHTMLファイルの中の マルウェア感染部分がごっそり削除されてしまうため、該当スクリプトを手に入れるのに骨が折れました。

     それではどうやって マルウェア感染部分のキャプチャ画像を撮ったかというと、Virtual PCで動作している古いWindowsで、IE6を使ったのでした。
     そこで今回発見したマルウェアに感染しているホームページのソース部分を手に入れ、メモ帳で Script 部分を加工して、キャプチャーに成功しました。


    ■まとめ

     現在収束に向かっているといわれる、Gumbler ウィルス。
     実際にサイトを探してみると、なかなか見つからなくて苦労しました。
     もう世俗にはほとんど感染サイトがないのかと思えるくらいです。
     ただ、まだまだ個人が開設しているホームページでは散見されますね。
     今回発見したマルウェア感染しているそのサイト管理者に対して、わざわざ営業活動はしていませんが、もしも自分のホームページが感染していたら、すぐにでも対処してください。

     蛇足ですが、今回見つけたGoogleで警告されている2つのホームページを、ホームページタイトル名でYahoo!検索をしたところ、マルウェア警告が出ませんでした。ホームページを検索する時はGoogle検索を利用したほうがいいかもしれません。

     今回気づいたことをひとつ。
     検索結果に特に警告が出ず、ウィルスソフトを入れていない状態で、マルウェア感染しているホームページを見たときの見分け方を書いておきます。
     マルウェア感染した場合、そのホームページを開く時に、画面が出るまでに少しまたされます。以前は普通に表示されていたのに、ちょっと引っかかるようになるのです。
     これは、内部で(画面に表示されないで)別のサイトにアクセスしているからです。
     ホームページを表示しようとして「あれ?画面表示までにやけに待たされるな」と思ったら、少し疑ったほうがいいかもしれません。
     そのホームページも、自分のパソコンのウィルス対策も。

     それでは長くなりました。
     ここまでお読みいただきありがとうございます。

    コメント
    コメントする








       
    この記事のトラックバックURL
    トラックバック