テクノロジー解説

Gumblar(ガンブラー)対策ソリューション

 有名企業のサイトが次々に感染し、大きな話題となった Gumblar(ガンブラー)。エンドポイントのセキュリティ対策だけでは防ぐことが難しい巧妙な方法で感染します。シスコは、ネットワークの観点から企業全体のセキュリティを防御する対策を提案しています。今回は Gumblar の感染手法を確認しながら、シスコのソリューションの有効性を検証します。

感染対策をすりぬける Gumblar のしくみ

 Gumblar は、昨年前半、メールを媒体として大きな被害を出しました。それが年末になって、再び感染を拡げたのはなぜでしょうか?そのしくみを確認してみましょう。

このページのコンテンツには、Adobe Flash Player の最新バージョンが必要です。

Adobe Flash Player を取得


 つまり、改ざんされた Web サイトを閲覧すると、閲覧者の PC がウイルスに感染し、その PC を使って管理している Web サイトの改ざんを通じて、さらに感染を拡げるのです。 このサイクルを断ち切るのが難しいといわれる理由には、次の 4 つがあげられます。

(1) 改ざんされた Web サイトの見た目に変化がない

Web サイト経由で感染させる脅威が増えている

Web サイト経由で感染させる脅威が増えている

 昨年末、Gumblar によって社会的に信用の厚い有名企業のサイトが改ざんされたことで、一般メディアにも大きく取り上げられました。Web の改ざんは、その企業の社会的信頼にも大きく影響します。そして何よりもおそろしいのは、最終的に自社サイトが改ざんされ、閲覧してくださったお客様も感染させてしまう可能性があるという点です。

 Gumblar による被害では、Web サイトに埋め込まれる不正なコードは巧妙に難読化されています。通常の Web 閲覧で利用されているのと同じ iflame や JavaScript などを利用して、悪意あるサイトに自動的に接続するようになっているのです。ユーザが閲覧前に改ざんを見極めることはほぼ不可能なうえ、Web サイトの各ファイル サイズやタイムスタンプを常時監視するといった改ざん防止・検知のしくみを導入していない企業では、サイトの管理者も改ざんに気付きにくくなっていました。

(2) アンチウイルス ソフトが検知できない

 過去に多くのウイルスがメールを媒体として広がっていきました。しかし最近は Web サイトを利用してユーザの PC を感染させるものが増えています。 ウイルスファイルそのものを配布するのではなく、悪意あるサイトからダウンロードさせるわけですから、攻撃者はダウンロードさせる不正ファイルや不正プログラムを、Web サーバ側で意のままに差し替えることができます。これによって、少量多品種のウイルスの亜種を容易に、かつ効率的に配布することができるようになっています。その結果、アンチウイルスソフトでの対応が間に合わないうちに感染してしまうリスクが高まっています。

(3) アプリケーションの脆弱性を利用している

 Gumblar では、Adobe Acrobat などのアプリケーションの脆弱性を利用してウイルスを感染させるようになっていました。Windows や社内で標準としてインストールしているソフトウェアであれば自動アップデートの機能もあるでしょうが、Web ブラウザのプラグインやアプリケーションなどは、ユーザ自身でアップデートを実施しなければならない場合が多く、脆弱性が放置されたままになっていることも少なくありません。

(4) 正規の方法で Web サイトを改ざんしている

 Gumblar によってウイルス感染した後のウイルスの活動の 1 つとして、FTP のアクセス情報を外部に送信します。感染した PC の FTP 通信情報から ID とパスワードを盗んだり、PC に保管されている FTP 情報を盗むこともあります。そして、その FTP 情報を使って Web サーバにアクセスして Web サイトを書き換えているのです。この場合、Web サーバには正規の方法でアクセスしているのですから、Web サーバへの不正アクセス対策として一般的に利用される IDS/IPS のような仕組みでは、このアクセスを止めることは非常に困難です。

 このように、Gumblar の攻撃のしくみに対して、従来と同じ考え方だけでは対抗が難しいのが実情です。うちはウイルス対策を取っているから大丈夫、と思っていても、気付いたときには社内に感染が拡大している可能性があります。また、Gumblar は通信の盗聴によって FTP アクセス情報を盗みました。今後、同じしくみで e コマース サイトへのアクセス情報、あるいはクレジットカード番号を取り出すようなウイルスに発展させることは技術的には容易であり、更なる被害につながる可能性もあります。Web サイトの改ざんの被害によって、このような犯罪行為に加担してしまわないようにしなければなりません。

ページ先頭へ戻る

Gumblar に対して考えられる対策とは?

では、Gumblar にはどのように対抗すればよいのでしょうか? 現時点で企業が取るべきだと考えられる対策は以下のようなものです。

対 策
(優先度の高い順)
実施の難易度
(短期的)
実施の難易度
(継続的)
費用対効果
(恒久対策として)
1 Web サイトが改ざんされていないかのチェック ○ △ △
2 FTP アクセス制御の実施による成りすましの防止 ○ ○ ○
3 ウィルスソフトの定義ファイルを最新化してスキャン、駆除 ○ △ ○
4 Adobe Reader などのプラグインソフトの最新化 △ × ×
5 Web サイトを経由した感染の防止 ○ ○ ○
6 Web サイト更新のプロセスを把握して安全性を確認 △ ○ ○
7 外部への不審な通信の検知、遮断 △ △ ○

 対策 1 〜 3 は、それほどお金をかけなくても手間さえかければすぐにでも実施できる対策です。セキュリティ担当者は早急な実施を検討しましょう。

 脆弱性への根本的な対策という意味では、対策 4 は効果的です。社内のクライアントが利用しているソフトウェアの最新化は、メールや社内の掲示板を使って一斉に呼びかけたりすれば、一時的には実施が可能でしょう。ただ、継続的な実施となると、社内で利用されている全ソフトウェアを把握し、そのパッチ情報や最新版を常にチェックして、個々のユーザの最新化作業を徹底する、といった、非常にハードルの高い対策となってしまいます。

 そこで効果的なのが対策 5 です。「Web 経由での感染」をネットワーク側で一括して防ぐことができれば、Gumblar の主要な感染経路を断ち切ることができ、かつ個々のユーザの PC で個別に行うよりも効率的な対策が可能です。

 対策 6 は、例えば Web の制作、運営を外部委託しているようなケースでも、委託先のセキュリティ対策について契約面で明確にすることはもちろん、一歩踏み込んで実際のセキュリティ対策状況を提示してもらってチェックする、といったことも今後は検討していく必要があります。

万が一クライアントが感染したとしても、対策 7 によってネットワーク側でいち早く検知すれば、被害の拡大を防ぎ、感染後の ID/ パスワード等の情報漏えいを防ぐことが可能になります。

ページ先頭へ戻る

悪意のあるサイトを自動識別して接続を遮断

 Gumblar が利用する Web 経由での感染モデルでは、改ざんされたサイトと知らずに閲覧した場合、ユーザが気付かない間に悪意のあるサイトに接続してしまいます。そのため、Gumblar の感染源となるサーバへの接続をブロックすることが感染防止のためには非常に有効です。しかし実際には、さまざまなドメインを装ったり、リダイレクトを何度も繰り返した上で感染源となるサーバへ接続させたりして、単純なフィルタリングでは対策が困難になっています。

Cisco IronPort S660 - Web セキュリティアプライアンス

Cisco IronPort S660 - Web セキュリティアプライアンス

 そこで、接続先のセキュリティ的な信頼度を評価して「あやしいサイト」を見つけるソリューションが生まれました。それが、「Web レピュテーション」と呼ばれる技術です。この Web レピュテーションを利用して「あやしいサイト」への接続を制御する機能を実現しているのが、Cisco IronPort の Web セキュリティ アプライアンス(WSA)です。

全世界のサイトを格付けする Web レピュテーション機能

 WSA には、ネットワークの規模により Cisco IronPort S660S360S160 の各モデルが用意されています。いずれも、高性能 Web プロキシ/キャッシュ、L4 トラフィックモニタ、HTTPS 暗号化、URL フィルタリング、アンチマルウェアといった Web セキュリティ機能を何層にも組み合わせて搭載し、さまざまな Web ベースの脅威への防御を提供しています。その中でも Gumblar 型の新たな脅威への対策として有効なのが、 Web レピュテーションによるフィルタリングです。

 Web レピュテーションとは、全世界の Web サイトに対する格付け情報を指します。WSA は、この情報を格納した SensorBase というデータベースのスコア情報を使うことで、疑わしいサイトへのアクセスをブロックすることができます。

このページのコンテンツには、Adobe Flash Player の最新バージョンが必要です。

Adobe Flash Player を取得


 シスコの Web レピュテーションは、SensorBaseが多様な情報ソースから IP アドレス、URL の管理者、ドメインオーナーの業種など 200 以上の細かいパラメータを取得して -10 から +10 まで 0.1 単位でスコアリングしており、URL フィルタの脅威カテゴリーや、単なるブラックリストやセーフリストとは異なる総合的な指標として参照することができます。たとえば、一時的に誤ってブラックリスト等に掲載されてしまったというような場合にも、シスコのレピュテーションでは他の基準と総合した上で判断されるため、急激にスコアが下がることはありません。スコアは 3 〜 5 分間隔で自動的に更新され、常に最新の格付け情報が WSA に反映されます。

このページのコンテンツには、Adobe Flash Player の最新バージョンが必要です。

Adobe Flash Player を取得


図

※画像をクリックすると、大きな画面で表示されますpopup_icon

 また、段階的な格付けとなっているため、スコアが高ければアクセスを許可する、低ければブロックする、というだけに留まらず、疑わしいスコアのサイトにはアンチウイルスエンジンでトラフィックをスキャンし、問題がなければアクセスを許可するようなポリシーを設定することも可能です。2005 年以降、Web 2.0 の普及に従い、全世界の Web コンテンツは急激に増加しています。URL フィルタのベンダーがカテゴリー分類できている Web サイトは現状で 20% 程度であり、2015 年までには 95% が分類外のサイトとなると予想されています。既存の URL フィルタリングでは排除できないグレーゾーンの Web サイトに対しても、シスコのレピュテーションであれば、段階的かつ総合的に対応することができます。

iPhone 向け無料セキュリティアプリケーション「Cisco SIO To Go 」

iPhone 向け無料セキュリティアプリケーション「Cisco SIO To Go 」
※画像をクリックすると、大きな画面で表示されますpopup_icon

 同様の格付けを行っている製品は他にもありますが、シスコの Web レピュテーションの特徴は、業界で初めてレピュテーション サービスを開始し、同業他社よりも経験を豊富に持つ点と、その高い信頼性にあります。ネットワークのリーディング カンパニーであるシスコは、自社製品を導入されたお客様の協力に基づき、70 万台以上のセキュリティデバイスから収集された情報によって、全世界を流れる Web とメールのトラフィックの 30% 以上を監視したうえでレピュテーション スコアを割り出しています。レピュテーション スコアを生成する際の詳細や更新頻度を公開しているベンダーは数少ない中、シスコは自社の情報収集規模やレピュテーション情報を Security Intelligence Operations(SIO) で公開しています。iPhone でこの情報を参照するクライアントの提供を行っていることからも、自社のレピュテーションに対して絶対の自信を持っていることがわかるでしょう。

シスコのレピュテーションでは 2009 年 5 月の時点で gumblar.cn に低いスコアをつけていた

シスコのレピュテーションでは 2009 年 5 月の時点で gumblar.cn に低いスコアをつけていた
※画像をクリックすると、大きな画面で表示されますpopup_icon

 実際、Gumblar によって当初自動的に接続させられていた、ウイルス名の元にもなった悪意のある Web サイト gumblar.cn について、ほとんどのセキュリティベンダーの URL フィルタ情報で「問題なし」とされていた2009年5月の時点で、シスコのレピュテーションでは -8.29 という非常に低いスコアを記録していました。このスコアは、WSA のデフォルトの設定でアクセスがブロックされるレベルです。

 このように、総合的な判断に基づきネットワークレベルで防御するシスコの WSA でなら、今後増加することが予想される Web サイトを利用した新しい脅威に対しても、対策することが可能なのです。

ページ先頭へ戻る

外部への不審な通信を検知、防御する Cisco IPS
Cisco IPS (侵入防御システム)

Cisco IPS (侵入防御システム)

 万が一社内の PC が感染してしまった場合でも、その感染をいち早く検知し、感染後に行われる外部への不正な情報送信を遮断することができれば、被害を最小限に抑えることができます。それを実現するのが Cisco IPS (Intrusion Prevention System)です。

 Cisco IPS は、ネットワークへの攻撃、ワーム、ウイルス、スパイウェアが行う不正な通信、許可されていない P2P ソフトなどの悪意ある通信などを正確に識別、分類、遮断することで、ネットワーク全体のセキュリティを強化します。Gumblar の例では、感染後に外部に情報を送信する際の通信データに含まれている特長的な文字列を検知することで社内での感染を発見し、その通信を遮断することで情報の漏えいを防ぐことができます。

このページのコンテンツには、Adobe Flash Player の最新バージョンが必要です。

Adobe Flash Player を取得


 Cisco の MSSP パートナーである株式会社ラック(http://www.lac.co.jp)が提供しているセキュリティ監視サービスでは、実際に IPS を使ってネットワークで発生している不正な通信をリアルタイムで検知、分析することで、Gumblar やその他の様々なセキュリティの脅威から顧客企業を保護しています。Gumblar については、独自のシグネチャを作成することで検知精度を向上させ、企業内での感染活動の活発化をいち早く検知していました。またその情報をセキュリティ アラートとして広く外部に公開するなど、積極的に注意喚起も行っています。

 Cisco IPS はネットワークの規模により、各種モデルを用意しています。詳しくは Cisco IPS の製品ページ をご覧ください。

いまなら WSA 評価機無料貸出を実施中

  • 現在、WSA 評価機の無料貸出キャンペーンを実施しております。こちら よりお申し込みください。
  • 本ページの内容に関するお問い合わせ先: gumblar-jp@cisco.com

お問い合わせ

中堅・中小市場向けリースプログラム
3つの法則
シスコのキーパーソンが語る製品開発への情熱