WEBマーケティング研究会

今年の3月以降、Webページが改ざんされて、不正なJavaScriptの実行によりページを閲覧しただけでウイルスに感染してしまう事例が急増しています。現在、世界中で猛威を振るっているのが「JSRedir-R」もしくは「Gumblar」と呼ばれるウイルスで、日本では初期に感染したサイトの名前から「GENOウイルス」とも呼ばれています。GENOウイルスの最大の特徴は、ウイルスに感染したPCのFTPアカウントを乗っ取って、不正なコードを挿入したHTMLファイルを勝手にWebサーバにアップロードしてしまうことです。WebサーバにFTPでログインできるスタッフのPCが感染してしまうと、管理者の知らないうちにWebページが改ざんされてしまう可能性のある非常に危険なウイルスです。

Webページの改ざんとしては、データベースから自動生成されるWebページに不正なJavaScriptへのリンクを埋め込むSQLインジェクション攻撃などがありますが、改ざんされるのは攻撃されたWebサーバのみです。しかしGENOウイルスの場合は、改ざんされたWebページを閲覧して感染するPCが増えるに伴い、新たに改ざんされるWebページが加速度的に増えてしまいます。なお、GENOウイルスに感染してしまうと、FTPアカウントが乗っ取られるほか、ブラウザに表示されるサーチエンジンの検索結果を改ざんして悪意のあるサイトに誘導したり、PCを外部から遠隔操作できる不正プログラムを設置されたりすることが判明しています。

【トラブル事例】

2009年4月4日、PC販売サイト「GENO」のWebページが改ざんされているという情報が匿名掲示板に書き込まれました。その後、改ざんされたページにアクセスするとウイルス感染の危険性があることが確認されましたが、土曜日だったこともありサイト運営会社による対策が何も行われないまま、ウイルス感染者が増えるという状態が週明けの4月6日まで継続しました。6日になって一時サイトを閉鎖した後、週末閲覧した人はウイルス感染の可能性があるという事実を公表しないまま再開しました。一連の対応が遅かったため利用者からの非難が集中し、以後「GENOウイルス」と呼ばれる原因になりました。

GENOウイルスによるWebページの改ざんを防ぐには、Webサイト管理に関わっているスタッフ全員のPCがGENOウイルスに感染しないことです。GENOウイルスは、Flash PlayerとAdobe Readerの古いバージョンに存在する脆弱性を悪用していますので、まずはこの2つを最新版に更新することが基本的な対策となります。Windows Updateを実行するほか、ウイルス対策ソフトのパターンファイルを最新にすることも必須といえます。また、ブラウザでJavaScriptをオフの設定にすれば、GENOウイルス感染の確率を低くすることができます。GENOウイルスに限らず、登場した直後はウイルス対策ソフトで検出できるようになるまでタイムラグがあります。ウイルス対策ソフトを過信せず、日頃からリンク先が不明なURLは不用意に開かないという心がけも重要です。

今回のGENOウイルス事件で改めて浮かび上がったのが、Webページの更新に普段よく使われているFTPというプロトコルの潜在的な脆弱性です。パスワードを含めて暗号化をせずにデータを送信するという仕組みがGENOウイルスに悪用されました。安全にデータを送信できるSFTPというプロトコルもありますが、すべてのWebサーバがSFTPに対応しているとは限りません。今回の事件をきっかけに、SFTPへの移行が進むことも予想されます。

-----------------------------------------------------------------
　◎初出：2009年6月1日
-----------------------------------------------------------------