Webサイトからマルウェアに感染!ドライブバイダウンロード攻撃とは

この記事は約6分で読めます。
2021.07.05

「Webサイトにアクセスしただけなのに、マルウェアに感染してしまった」というインシデントがあります。このインシデントは、ドライブバイダウンロードというサイバー攻撃の一つです。
ドライブバイダウンロードは、Webサイトへの不正アクセスと、マルウェア感染という二つの要素からなるものですので、Webの管理者と、ユーザー双方に予防の必要性があります。

では、具体的にどのようにこうした攻撃を防ぎ、攻撃を受けたときに対応したらよいのでしょうか。
まず、ドライブバイダウンロードの仕組みや被害事例について理解を深めていただき、これらをもとにした予防策・万が一攻撃を受けたときの対策について、まとめてお伝えします。

ドライブバイダウンロード攻撃とは

ドライブバイダウンロードとは、悪意あるウェブサイトにアクセスしただけで、スパイウェアやランサムウェアなどの不正なプログラムをダウンロードさせ、感染させる攻撃のことをいいます。

2010年に大流行したガンブラー攻撃が有名であり、日本でも大手企業のサイトにアクセスしたユーザー多数、ドライブバイダウンロードにより被害にあっています。

また、水飲み場攻撃は、ガンブラーよりも、さらにターゲットとなるユーザーを絞った攻撃ですが、ドライブバイダウンロード攻撃と同じ仕組みによっています。

この攻撃は、ユーザーのブラウザ等の脆弱性によって、気づかないうちにマルウェアがダウンロードされること、サイトの外表からはうかがい知ることができないことから、気づきにくい攻撃です

また、ユーザーがアクセスするサイトは、正規サイトであり、こちらも管理者が気づかないうちに改ざんされるため警戒もしにくいのを特徴としています。

ドライブバイダウンロード攻撃の仕組み

ドライブバイダウンロード攻撃の仕組みは、Webサイトの改ざんと、ユーザーのWebサイトへのアクセス・マルウェアのダウンロードからなるものです。

Webサイトの改ざんの仕組みは、ページのアップロードを行うためのFTPサイトのアカウントを盗み出し、管理者の権限を手にした攻撃者がWebサイトを改ざんしてしまうことによるものです。

攻撃者は、リスト型攻撃や、総当たり攻撃により、FTPアカウントのID/パスワードを盗み出してしまいます。そうなると、Webサイトは攻撃者が思うように改ざんできるようになります。

Java Scriptなどを使って改ざんを行い、ユーザーがアクセスすると、さらにニセサイトに誘導され、マルウェアがダウンロードされてしまいます。

ガンブラー攻撃の流行時に、偽サイトの例として、IPAが報告しているところによると、ウイルスに感染していることをかたり、ニセのウイルス対策ソフトウェアの購入ページに誘導する、といったものがあります。

ユーザー側にこうした被害が起こる要因として、フラッシュプレーヤーや、Office、Adobe Acrobat Readerなどの脆弱性により、実行されるものと考えられています。

最終的に、ユーザーは知らないうちにマルウェアに感染させられ、個人情報が流出します。クレジットカード情報などは悪用されて、さらに財産的な被害が生じる可能性もあります。

IPAによると、マルウェアの種類は、個人情報の漏えいを招くもののほか、FTPサーバの情報を盗み出すものなど、さらに多数のWebサイトへの攻撃を意図する内容のものがあったこともわかっています。

さらに、同じくIPAによると、ガンブラーの流行時、ユーザーがマルウェアに感染している兆候としては、次のような異常がみられたとのことです。

ガンブラー攻撃によれば攻撃者は多種類のマルウェアを好きなように仕掛けられるので、これらの特徴がすべてのマルウェアに当てはまるわけではありませんが、攻撃者の発想を知る上での参考情報として知っておきましょう。

  • “Windows Update”、”Microsoft Update”が実行できない
  • 各種セキュリティ対策ソフトのベンダーのウェブサイトへ接続できない
  • ウイルス対策ソフトのウイルス定義ファイル(パターンファイル)を最新のものに更新できない

ドライブバイダウンロード攻撃の被害事例

ドライブバイダウンロード攻撃の被害は、日本では2009年から2010年にかけて相次ぎました。

  • 自動車会社で売り出し中の車のWebサイトアカウントが流出し改ざん
  • 大手コンビニチェーンの就活ポータルサイトが改ざん
  • 大手鉄道会社の乗車券予約サービスページ内、キーワード検索ページが改ざん

などの例があります。どれも大手企業の信用のあるサイトなので、なかなかユーザーも気が付きにくかったと考えられます。

ドライブバイダウンロード攻撃を防止するための対策

ドライブバイダウンロード攻撃の防止のため、Webサイトの管理者は乗っ取りを防ぐための不正アクセス対策を十分に施す必要があります。
パスワードの複雑化はもちろんのこと、オープンソースFTPソフトは製品に切り替えること・もしも使う必要があれば、WAFを使うなどの他の対策も併せて検討しましょう。

また、FTP専用のPCを別途用意して、ホームページの更新作業を行うなどして、できるだけネットワーク内・ホームページの他のページに影響が出ないようにすることも安全管理策として推奨されるものです。一方、ユーザ側は以下のような対策をしておくとよいでしょう。

ウイルス定義ファイルの最新化

ウイルス対策ソフトの定義ファイルは自動更新にし、なるべく早急に適用しましょう。

100%ウイルス定義ファイルで、実際に存在するウイルスがカバーできるとは言えませんが、最新の定義であれば、もっとも多くのウイルスを網羅しているはずです。

セキュリティ更新プログラムの適用

OSやソフトウェアなどのセキュリティ更新プログラムも極力最新のものを即時で適用し、できるだけ新しい攻撃に備えましょう。

よく知っているサイトでも閲覧時に注意

よく知っているサイトでも閲覧時にウイルス対策ソフトから警告などが出た場合は閲覧しないようにしましょう。

また、改ざんされたWebサイトには、キャッシュに改ざん部分が残存している可能性もあり、これも有害です。修正された場合でも1週間を目安に、できるだけアクセスを控えることも有効です。

ドライブバイダウンロード攻撃が疑われる時は

ドライブバイダウンロード攻撃が疑われるときは、まずウイルス対策ソフトによるスキャン・除去など、復旧に向けた対策を取ります。

ウイルス対策ソフトがインストールされていない場合には、無料で利用できるサービスやソフトなどを利用しましょう。

ウイルス対策ソフトが導入されている場合でも、開発したての最新のマルウエアは誰も知らないわけですから、完全に信頼できない、と考えておきましょう。IPAのサイトに掲載されている施策などを参考に、対策しておくことがおすすめです。

まとめ

ドライブバイダウンロードは、サイトの改ざんと、マルウェアの仕組みを組みあわせた攻撃で、日本では2009年~2010年に大流行し、大手企業のサイトからも被害が報告されています。

ユーザ側の脆弱性にも漬け込むので、Webサイト管理者のパスワード管理などの安全管理策とあわせて、最新のソフトウェアにアップデートする・最新のウイルスパターンに対応するようセキュリティソフトも更新しておくなどの対策が必要と考えられます。

情報セキュリティ対策サイバー攻撃対策
情報漏えい
タイトルとURLをコピーしました