共通メニュー

プレスリリース

Follow gred_kun on Twitter

報道関係各位2009年11月18日

セキュアブレイン gredセキュリティレポートVol.4【2009年10月】

再び猛威をふるう「Gumblarウイルス」、被害サイトの53%は企業のウェブサイト
フィッシング詐欺サイトでは「薬品の違法販売サイト」が台頭

 株式会社セキュアブレイン(本社:東京都千代田区、代表取締役社長 兼 CEO:成田 明彦、以下「セキュアブレイン」)はセキュアブレインが運用する、無料のウェブセキュリティサービス「gred(グレッド)でチェック」で収集した情報を基に、「セキュアブレイン先端技術研究所」(以下 先端技術研究所)で分析を行い、その結果を「セキュアブレイン gred セキュリティレポート」として公表します。 「gred でチェック」は、インターネットユーザがウェブサイトの安全確認を行うことができる、無料のウェブセキュリティサービスです。確認したいウェブサイトのURL を入力するだけで、セキュアブレインが独自に開発した解析エンジンが、ブラックリストを使用せず短時間で解析し、そのウェブサイトが「安全(Safe)」か「危険(Danger)」を判断します。

本レポートに含まれる内容

    1 gred セキュリティレポート概要

    1.1 危険と判断されたウェブサイトの数
    1.2 「gred でチェック」で検知した脅威の月毎の推移
    1.3 「gred でチェック」のチェック結果に表示される脅威の説明

    2 悪質サイトの傾向分析

    2.1 再び猛威を振るう「Gumblarウイルス」、攻撃手法は複雑化
      2.1.1 新たに確認された「Gumblarウイルス」の攻撃手法
      2.1.2 企業ウェブサイトの被害は引き続き深刻。ウェブサイトの監視等、速やかな対処が急務。
    2.2 薬品やサプリメントのネット販売を装い、クレジットカード番号等の個人情報を収集する、フィッシング詐欺サイトの一種に注意が必要。

    3 個人・企業それぞれに求められる、セキュリティ対策とは?

    3.1個人向けの対策:「gredでチェック」「Internet SagiWall(インターネット・サギウォール)」
    3.2企業向けの対策:「gredセキュリティサービス」

    1 gred セキュリティレポート概要

    「危険」と判断されたウェブサイトの数(2009年10月):3,621件(図表1)
    report4_chart1.gif
     
    gredでチェック」で検知した脅威の月毎の推移(図表2)
    report4_chart2.gif
    ●「危険」と判断されたウェブサイトの件数は、3,621件で、統計開始後、6ヶ月連続で増加が続いています。(前月比118.1%)(図表1参照)
    ●2009年10月は、「フィッシング詐欺」(1,655件:前月比 121.0%)と「不正改ざんサイト」(885件:前月比 227.5%)、「不正プログラム」(219件:前月比126.6%)の検出件数が、共に最高値を記録しています。(図表2参照)
    1.3 「gredでチェック」のチェック結果に表示される脅威の説明
    表示される脅威の名称 説明
    フィッシング詐欺 本物そっくりに、偽造されたウェブサイトです。ユーザのIDや、パスワード等の個人情報を不正に取得します。
    ワンクリック不正請求 ウェブサイト上のボタン等をクリックしただけで、契約が成立したように見せかけ、料金を不当に請求する詐欺を行っているウェブサイトです。
    偽ソフトウェア(不正プログラム) 不当に料金を請求する、実際には機能しない、偽物のソフトウェアを配布しているウェブサイトです。
    不正攻撃サイト 他のコンピュータに攻撃を行うことを目的として作成されたウェブサイトです。
    不正改ざんサイト 攻撃者によって、不正に改ざんされてしまった状態になっているウェブサイトです。
    ウイルス(不正プログラム) ウイルスが仕掛けられているウェブサイトです。閲覧すると感染被害の恐れがあります。
    ワーム(不正プログラム) 電子メールやネットワークを利用し自己増殖する、ワームが仕掛けられているウェブサイトです。閲覧すると感染被害の恐れがあります。
    スパイウェア(不正プログラム) 個人情報等をコンピュータから盗む、スパイウェアが仕掛けられているウェブサイトです。閲覧すると感染被害の恐れがあります。
    その他のマルウェア(不正プログラム) ウイルス、ワーム、スパイウェア以外の不正プログラムが仕掛けられているウェブサイトです。閲覧すると感染被害の恐れがあります。

    2 悪質サイトの傾向分析

    先端技術研究所では、「gredでチェック」で検出された結果について、詳細な分析・調査を行っています。この項では、それらの中から特に顕著に表れた傾向について、分析・調査結果を紹介します。
     
    2.1再び猛威を振るう「Gumblarウイルス」、攻撃手法は複雑化

    2009年6月にウェブサイトの改ざん被害が大量に発生した、「Gumblar/JSRedir-Rウイルス」(以下、Gumblarウイルス)の報告が急増しました。これは、「Gumblarウイルス」が新たな手法を使い、攻撃を開始したことが原因と思われます。「Gumblarウイルス」は、FTPサーバのID・パスワードを収集・悪用することで、ウェブサイトの改ざんを行い、感染被害を拡大します。先端技術研究所が調査を行ったところ、以下のような攻撃手法が確認されています。
     
    2.1.1新たに確認された「Gumblarウイルス」の攻撃手法

    新たに確認された攻撃手法は、既存のウェブサイトに対して、大きく分けると2つの手法で改ざんを行います。この改ざんは、別々のサイトに置かれていることが考えられますが、2つの改ざんを1つのサーバに対して行われることがあることも確認しています。
     
    1.ウイルスに感染させる機能を持たせるために、ウェブサイトに感染用の悪意のある、難読化されたスクリプトファイルがアップロードされます。
    ●ウェブサイトのhtmlコード(htmlコンテンツ)は改ざんされず、ウェブサーバ上に不正なスクリプトファイルがアップロードされます。感染を検知するためには、ウェブサイト管理者が正常な状態のウェブサーバのファイル構成を把握しておき、不正なファイルが存在するか否か確認しなければなりません。
    ●スクリプトファイル名はソーシャルエンジニアリング的なテクニック(例えば、shopping_cart.php等)を使ったものになっており、ファイル名からその成否を判断することが難しくなっています。また、スクリプトは難読化されており、その詳細を理解することは困難です。さらに、このスクリプトファイルが置かれているdirectoryに、「/s」等のようなサブディレクトリを作成し、複数のファイルを作成していることも確認しています。

    2.「1」でアップロードされたスクリプトファイルを、自動的にダウンロードおよび実行させる機能です。
    ●こちらのウェブサイトは、直接htmlの内容が改ざんされています。一般ユーザが当該ウェブサイトを閲覧すると同時にこのスクリプトが実行され、「1」でアップロードされたスクリプトファイルを自動的にダウンロードおよび実行させます。また、改ざんされたhtmlコードは、難読化されていません。
    ●多くの場合、これらのスクリプトは他のサーバに置かれており、俗に言う「クロスサイトスクリプト」として実行されます。これらの不正なコードを仕掛けられた2種類のウェブサイトは、元は一般のウェブサイトなので、ブラックリスト方式による検知は難しくなります。

    new_attack.jpg
    ※以前の攻撃手法については、2009年6月12日の報道発表資料(http://www.securebrain.co.jp/news/090612_gred_geno.html) をご確認ください。
     
     
    2.1.2企業ウェブサイトの被害は引続き深刻。ウェブサイトの監視等、速やかな対処が急務
     
    先端技術研究所が、「gredでチェック」で収集した情報の分析を行ったところ、被害を受けたウェブサイトの内訳は以下のようになりました。
    report4_chart3.gif
    以前「Gumblarウイルス」による改ざん被害を受けたウェブサイトが、FTPサーバのID・パスワードを変更していないなど、適切な対処を行わなかった場合、再び悪意のあるスクリプトを埋め込まれる可能性があります。ウェブサイトを運営している企業では、細心の注意を払って、自社ウェブサイトの検査と継続的な監視等、速やかに対策を行う必要があります。
     
    2.2薬品やサプリメントのネット販売を装い、クレジットカード番号等の個人情報を収集する、フィッシング詐欺サイトの一種に注意が必要

    2009年10月は、1,655件の「フィッシング詐欺」の報告がありました。2009年9月の1,369件に比べ、報告件数が急激に増加しました。先端技術研究所が調査を行ったところ、医薬品・サプリメントの販売を行うように装い、情報を不正に取得しようとするウェブサイトの割合が増加していることがわかりました。(図表5参照)
     
    report4_chart4.gif
    先端技術研究所では、その他、偽ブランド品や高級腕時計の販売を行うウェブサイトを装って、クレジットカード番号をはじめとするいわゆる「個人情報」の取得を試みるウェブサイトの存在が確認されています。これらのウェブサイトは、英語によって記載されているものがほとんどです。興味本位での閲覧、購買には十分注意してください。

 

    医薬品・サプリメント販売を装って個人情報を取得するウェブサイトの例
     
    •医療従事者のモデル等を使ったデザインで安心感を演出するトップページ
    medical_phishing01.jpg
    ・住所、氏名、クレジットカード番号などの情報を取得
    medical_phishing02.jpg
    medical_phishing03.jpg

    3 個人・企業それぞれに求められる、セキュリティ対策とは?

     3.1個人向けの対策:「gredでチェック」「Internet SagiWall(インターネット・サギウォール)」

    インターネットユーザはウェブサイトを閲覧する前に、その安全性を確認する必要があります。セキュアブレインでは、無料でご利用いただけるウェブセキュリティサービス「gredでチェック」(http://www.gred.jp)を提供しています。またセキュアブレインの、個人向けのセキュリティ対策ソフト「Internet SagiWall」は、閲覧するウェブサイトのコンテンツやリンク先等複数の要素を解析し、その危険性を判断します。危険なウェブサイトを閲覧してしまった場合でも、瞬時に画面を遮断し警告画面を表示します。

    ◆「gredでチェック」URL
    http://www.gred.jp

    ◆「Internet SagiWall」の製品紹介URL
    http://www.securebrain.co.jp/products/sagiwall/index.html

     3.2 企業向けの対策:「gredセキュリティサービス」

    企業のウェブサイトの管理者は、自社のウェブサイトの安全性を、自動で定期的に監視するソリューションが必要です。セキュアブレインでは、企業のウェブサイトが不正に改ざんされていないかを定期的に監視し、問題が発見された場合には、即座に管理者に通知する、SaaS型セキュリティサービス「gredセキュリティサービス」をご提供しています。
     「gredセキュリティサービス」では、「30日無償トライアル版」を用意しています。「無償トライアル版」は、自社のウェブサイトのURL、アラートメール送信先等の情報を登録するだけで、すぐにサービスを利用開始することができます。「gredセキュリティサービス」は、検査対象となるウェブサイトのコンテンツを、ダウンロードして検査を行いますので、ウェブサイトへの負荷はほとんどかかりません。

    ◆「gredセキュリティサービス」30日無償トライアルお申込みURL
    http://www.securebrain.co.jp/products/gred/trial.html

    ◆「gredセキュリティサービス」の詳細機能説明URL
    http://www.securebrain.co.jp/products/gred/function.html

    以上

    PDFアイコン プレスリリース印刷用(PDF 252KB)

セキュアブレインについて

株式会社セキュアブレインは、インターネット上の脅威が多様化する中、「より快適で安心できるネットワーク社会を実現するために、一歩進んだ技術で貢献する」というビジョンのもと、信頼性の高いセキュリティ情報と高品質なセキュリティ製品・サービスを提供する日本発のセキュリティの専門企業です。詳細は、www.securebrain.co.jp をご覧ください。

gredセキュリティサービスに関するお問い合わせ先

gredセキュリティサービス カスタマーサービスセンター
0120-988-131
※ダイヤル後、アナウンスに従い『1』を押してください。
営業時間 月~金、9:00-12:00 13:00-17:00  土日祝祭日を除く
メールフォームによるお問い合わせ
gredセキュリティサービスについてのお問い合わせ

本件に関する報道関係者さまからのお問い合わせ先

株式会社セキュアブレイン 広報担当:丸山 芳生(まるやま よしお)
info@securebrain.co.jp
電話:03-3234-3001 、FAX:03-3234-3002   〒102-0083 東京都千代田区麹町2-6-7麹町RKビル4F

このページのトップへ