報道によれば、ウェブサイトを改ざんし、そこにアクセスしたユーザーにウイルス感染させる「ガンブラー攻撃」が更なる被害を拡大させているという。
「ガンブラー攻撃」は、プログラムを書き換える手法なので、サイトを見ただけでは分からないので厄介だ。
改竄(かいざん)を知らずに訪れたユーザーが、別のサイトに強制的に誘導されてウイルスを仕込まれるケースもある。
その改竄サイトにユーザーを呼び込む「待ち伏せ型」がガンブラーの特徴だが、最近では偽サイトにアクセスさせるためメールを送りつける別種の「誘導型」も見られるなど、悪質な手口はとどまるところを知らない。
それでは、その手口の仕組みについてみてみよう。
セキュリティー対策と見せかけて騙す
『ガンブラー攻撃』とは、サイトの改竄と、そのサイトの閲覧者をウイルス感染させる一連の手法を差す。
攻撃者はウイルスを使って、サイト管理者から不正に管理用パスワードを盗み出す。
次に、パスワードを使ってそのサイトに侵入し、内部のプログラムを一部書き換えて、第三者がそのサイトを閲覧した際にウイルス感染させるというのがその手口だ。
最近は、ごく短いプログラムの文字を追加するだけのケースが多く、パッと見ただけでは改竄されているか区別できない。
サイトを訪れた人がウェブ管理者だと、そのパスワードがまた攻撃者に盗まれて、新たな改竄サイトがつくられることいなり、汚染が広がる一方となる。
こういった手口は、2009年3月ごろから出始め、JR東日本やローソン、ホンダといった大手企業のサイトが攻撃にさらされた。
独立行政法人・情報処理推進機構(IPA)によれば、「どのサイトかは特定できないとしながらも、『これら企業のサイトを閲覧した後にパソコンがウイルス感染した。』という相談を受けた。」という。
なかでも「セキュリティー対策ソフト型ウイルス」の被害相談が多い。
改竄サイトを訪れると強制的に偽のセキュリティーソフトのサイトに飛ばされ、ウイルスを仕込まれる。
その後、パソコンが勝手にウイルススキャンを始めて、「大量のウイルスが見つかりました!」と表示されるのだ。
そのうえで、画面には「ウイルス駆除には、有料版のソフトを購入してください!」と出てくる。
もちろんこれも嘘のメッセージだ。
その目的は「クレジットカード番号などを入力させ、不正に金銭を騙し取る」ことにある。
別の方法で、ウイルスに感染させるサイトに誘導するケースもある。
偽のアマゾンメールで感染サイトへ誘導する
最近多いのは、ネット通販サイト「アマゾン」の注文確認のニセメールを送りつける手法だ。
英文で、本物そっくりの体裁で金額、注文番号、さらには「注文内容を見るにはここをクリック」といったリンクが張られている。
リンクをクリックした瞬間にウイルスに感染する仕組みだ。
「Twitter」の投稿に感染サイトのURL
最近は、Twitterの投稿に感染サイトのURLを忍ばせる手口も出現している。
IPAによると、「自分がフォローしている人の投稿だから大丈夫だろう、とついクリックするのが狙い」という。
どのサイトが改竄されているか、ユーザーには分からないため、警戒のしようがないというのが現状だ。
次善の策として、基本ソフト(OS)はもちろんパソコンに入っているアプリケーションはすべて最新版にアップデートし、ウイルス対策ソフト、それも危険なウェブサイトの閲覧をブロックしてくれる機能を持つ「統合型」ソフトを入れることが必要だ。
「それでも感染する恐れはあります。いざというときのためにバックアップはとっておいてほしい。」と、IPAでは呼びかけている。