3 近年の攻撃の特徴
近年の攻撃に見られる大きな特徴として、攻撃者による攻撃手法/攻撃経路の複雑化・多様化が挙げられる。多くの企業で、ファイアウォールやIDS、UTMなどのセキュリティ対策製品の導入が進んでおり、攻撃が困難になってきている。そのため最近では、攻撃者は、管理が不十分であることが多い管理者端末などのクライアントコンピュータを経由して、攻撃を実施するようになってきている。
これらの攻撃の典型例としては、2009年夏から現在までに確認されている、いわゆるGumblar攻撃(注8)が挙げられる。この攻撃では、攻撃者は最終的にWebサイトを改ざんする。改ざんされたWebサイトを閲覧したユーザーにも被害が及ぶことが特徴の1つとなっており、閲覧したユーザーのコンピュータは、マルウェアに感染してしまう。
本攻撃の手順を図表4に示した。以下にその概要を記述する。はじめに、攻撃者は、管理者端末にキーロガー攻撃(利用者がキーボードに入力した情報を盗み取る攻撃)などの攻撃を仕掛けることで、Webサイト更新用のIDとパスワードを奪取する。その後、攻撃者は、通常の管理者による更新と同様の手順で、IDとパスワードを入力し、Webサイトを改ざんする。
もしユーザーが、改ざんされたWebサイトを閲覧した場合、そのユーザーのコンピュータにマルウェアが組み込まれてしまう可能性がある。このような場合、マルウェアの機能により、ユーザーの秘密情報(Webサイト更新のためのID・パスワードなど)が攻撃者に渡ってしまう。
注8:情報セキュリティ技術動向調査タスクグループ報告書(2009年下期)p.25「Web媒介型攻撃Gumblarの動向調査」(PDF)
図表4:いわゆるGumblar攻撃の手順と動作
