セキュリティ・ベンダーのラックは3月3日、「Webサイトの改竄(かいざん)を通じて閲覧者をマルウェア(=不正プログラム)に感染させる通称「Gumblar」型攻撃で、Webサイトの改竄(かいざん)に新たな手口が見つかった。」と、発表した。
しかも、性質の悪いことに、「従来の対策では防げない可能性がある。」という。
Gumblar型攻撃では、攻撃者がWebサイトの管理アカウントなどを不正に入手し、閲覧者を外部の攻撃サイトへ誘導するよう改竄(かいざん)する手口」が知られている。
従来の改竄(かいざん)では、難読化されたスクリプトなどが埋め込まれていた。
ところが、新たな手口ではApacheの設定ファイル「.htaccess」を攻撃者が標的サイトの不正にアップロードしている。
そして、主要な検索サイトからのアクセスや「404」「403」などのエラーによって、閲覧者がApacheのリダイレクト機能で攻撃サイトに転送され、従来のGumblar型攻撃と同様に不正プログラムがダウンロードされてしまう恐れがある。
同社では3月1日に、この手法による改竄(かいざん)被害を確認したが、調査の結果1月末に攻撃が仕掛けられていた可能性があることが分かったという。
この手法では「コンテンツファイル自体は改竄(かいざん)されず、また、ブックマークやURLを直接入力したサイトを表示した場合も影響を受けないため、Webサイト管理者が被害に気付きにくい。」というのが特徴だ。
閲覧者側でも、従来は例えばFirefoxとアドオンのNoScriptの組み合わせで攻撃をブロックできたが、RequestPolicyなどのリダイレクト対策ができるアドオンを利用する必要がある。
同社では「FTPの転送ログなどを活用して身に覚えのない.htaccessファイルがアップロードされていないか確認してほしい。」とWebサイト管理者に対して呼び掛けている。