サイト制作のお客様：不正アクセスによるサイトの改ざんについて

2013/06/21

2009年に流行して「GENOウイルス」とも言われた「Gumblar（ガンブラー）」と言われる攻撃手法が流行しています。「Gumblar」は「Webサイト改ざん」と「Web感染型ウイルス（Webサイトを閲覧するだけで感染するウイルス）」を組み合わせて、多数のパソコンをウイルスに感染させようとする攻撃のことで、国内外において被害が相次いでいます。

「Gumblar」とは

Webブラウザなどを介して、ユーザに気付かれないようにソフトウェアなどをダウンロードさせることでマルウェアをコンピュータに感染させ、FTPアカウントを攻撃者に送信させることによってWebサイトの改ざんが行われます。

関連リンク：情報処理推進機構　改ざんされたウェブサイトからのウイルス感染に関する注意喚起　http://www.ipa.go.jp/security/topics/20091224.html

主な対策

ウェブ閲覧などに際して

   ・常駐型のウイルス対策ソフトを常に最新版に更新して使用
・Microsoft UpdateやAppleソフトウェア・アップデートを実行してシステムを最新の状態に維持
・Adobe Reader、Java Runtime Environment、Adobe Flash Player、QuickTimeなどを最新版に更新
・Adobe ReaderのAcrobat JavaScriptを無効に設定
・ブラウザのJavaScriptは無効に設定し、必要なときにだけ有効にする
・Windowsの場合、ユーザーアカウント制御で怪しいプロセスを実行しない  

FTPアクセスについて

・FTPを利用してデータのアップロードを行う場合、FTPアクセスのIP制限をご検討下さい。（弊社サーバーでも設定が可能です。詳しくはお問合せください）
・フリーのFTPクライアント「FFFTP」ではGumblar感染後にレジストリに保存されているFTP接続情報を窃取されてホームページが改ざんされる被害が起きています。レジストリの接続情報を消去した後にFTPパスワードをパソコン上で暗号化した最新版のFFFTPを導入するなどの対策が必要です。
・セキュアなSFTPなどのSSL接続に対応しておりマスターパスワードの設定と接続情報のAES暗号化が実施できるFTPクライアント（WinSCPなど）を使用する事が望ましいです。

関連リンク：WinSCP　http://winscp.net/eng/docs/lang:jp

ブラウザについて

「Microsoft社 Internet Explorer 6」および「Opera社 Opera 10.10」のアカウント管理機能を用いて保存されている情報も窃取の対象となっています。

その他

・Gumblarに感染した際、閲覧者などからのメールによる通報を受けるため連絡先アドレスをサイトへ記載しておくことが望ましいです。

感染したら：

・サイト公開を停止します。弊社の管理・制作サイトの場合、早急にご連絡下さい。
・ウイルスの排除、および感染したパソコンの初期化を実施します。
・二次被害を防ぐため、改ざんの事実の公開、ウイルス感染の危険性を説明した上でオンラインスキャンを薦めるなど適切な情報提供と注意喚起をします。
・ウイルスを排除せずにFTPパスワードを変更した場合、再度改ざんされるというケースもあるため、原因を排除したあとFTPパスワードを変更します。
・改ざんされたページを正規のページに置き換えます。
・IPA等への届出を行います。

弊社においては、改ざんなどの被害が発生した場合、その対処や対応作業については有償作業となります。また原状復帰の保証や再発についても保証致しかねます。
普段のサイト保守やパソコンの運用にて充分注意下さいますようお願い申し上げます。